Применение технологий электронного банкинга: риск-ориентированный подход.

Принятые сокращения.

DFD — (Dаtа Flоw Diаgrаm) диаграмма потоков данных.

DМZ — (DеМilitаrizеd /оnе) демилитаризованная зона.

FFIЕС — Федеральный совет по проверкам финансовых учреждений США.

ОСС — Управление контролера денежного обращения США.

SLА — (Sеtуiсе Lеvеl Аgrееmеnt) соглашение об уровне обслуживания.

VРN — (Virtuаl Рrivаtе Nеtwоrк) виртуальная частная сеть.

АПО — аппаратно-программное обеспечение.

АРМ — автоматизированное рабочее место.

АС — автоматизированная система.

АСП — аналог собственноручной подписи.

БАС — банковская автоматизированная система.

БКБН — Базельский комитет по банковскому надзору.

ВА — внутренний аудит.

ВК — внутренний контроль.

ГК РФ — Гражданский кодекс Российской Федерации.

ДБО — дистанционное банковское обслуживание.

ЖЦ — жизненный цикл.

ЗВС — зональная вычислительная сеть.

ЗСК — знай своего клиента.

ИБ — интернет-банкинг.

ИСУ — информационная система управления.

ИТ — информационные технологии.

ЛВС — локальная вычислительная сеть.

НСД — несанкционированный доступ.

ОИБ — обеспечение информационной безопасности.

ОЭСР — Организация экономического сотрудничества и развития.

ПИО — программно-информационное обеспечение.

ПОД/ФТ — противодействие отмыванию денег и финансированию терроризма.

ППР — поддержка принятия решений.

ПСИ — приемо-сдаточные испытания.

РМВ — реальный масштаб времени.

СБ — служба безопасности.

СБР — системный банковский риск.

СВК — служба внутреннего контроля.

СОР — система оценивания рисков.

СЭБ — система электронного банкинга.

ТБР — типичный банковский риск.

ТЭБ — технология электронного банкинга.

ТЭО — технико-экономическое обоснование.

УБР — управление банковскими рисками.

УРСИТ — универсальная рейтинговая система для информационных технологий.

ФМ — финансовый мониторинг.

ЭБР — элементарный банковский риск.

Введение. Актуальность и проблематика электронного банкинга.

Если вы не знаете как это делать, не делайте этого.

Б. К. С. Айенгар.

Во всем мире кредитные организации сталкиваются с двумя принципиальными проблемами, которые им приходится решать при разработке и реализации своих стратегических и бизнес-планов, а именно:

— снижение себестоимости банковской деятельности;

— занятие лидирующих позиций на финансовых рынках.

Поскольку набор финансовых услуг, предоставляемых кредитными организациями, всегда строго регламентируется национальным банковским законодательством, а операционные нововведения быстро становятся общедоступными, получить конкурентные преимущества за счет варьирования состава, расширения или модернизации банковских услуг оказывается затруднительным. В публикациях, относящихся к вопросам современного финансового обслуживания, часто отмечается, например, что «компании, которые хотят выжить в современном мире, должны стремиться к использованию новых технологий для достижения конкурентных преимуществ»[1]. К тому же в условиях российского банковского законодательства, которое до сих пор остается в стадии становления, такие нововведения могут неожиданно выйти за границы так называемого «правового поля», а это чревато финансовыми потерями не только из-за их возможной нерентабельности (население в большинстве своем либо насторожено относится к нововведениям, либо не обладает необходимой компьютерной грамотностью), но также из-за возрастания уровня правового риска (непосредственного и опосредованного — через другие банковские риски). Поэтому в настоящее время кредитные организации в конкурентной борьбе на рынках предоставления финансовых услуг фактически вынуждены внедрять все новые банковские компьютерные (информационные) технологии, что в условиях функционирования российского банковского сектора практически всегда означает внедрение новых технологий дистанционного банковского обслуживания, или, иначе говоря, технологий «электронного банкинга», — этот англоязычный термин стал общепринятым. В итоге к концу первого десятилетия ХХI в. это направление банковской деятельности включило уже около двух десятков вариантов такого предоставления банковских услуг, о чем свидетельствуют результаты первого сплошного анкетирования в этой области, проведенного Банком России[2]. Также к этому времени не осталось сомнений в том, что основной функцией кредитных организаций постепенно становится преимущественно дистанционное финансовое посредничество.

Следует сразу отметить то, что в собственно банковскую деятельность кредитных организаций в ее операционном понимании электронный банкинг изначально ничего нового не внес. Однако в том, что касается способов и условий осуществления этой деятельности, особенно в части организации реализующих и обеспечивающих ее технологических процессов (внутрибанковских и внешних), их аппаратно-программного обеспечения (как самих кредитных организаций, так и их контрагентов), состава факторов и источников банковских рисков, а следовательно, содержания управления этими рисками, произошли радикальные изменения. Изучению этих изменений и подходам к их учету руководства кредитных организаций при определении им содержания и реализации внутрибанковских процессов (прежде всего управления банковскими рисками), составляющих их процедур и функций, а также взаимосвязей между ними в условиях применения электронного банкинга, посвящена эта книга.

Одно из главных отличий применения кредитными организациями технологий рассматриваемого типа от традиционных подходов к организации банковского обслуживания клиентов заключается в том, что клиенты, которые переходят к использованию таких технологий, после заключения ими договора банковского счета с кредитной организацией, дополнительного соглашения к этому договору о дистанционном банковском обслуживании и получения средств удаленного доступа к ее информационно-процессинговым ресурсам могут уже не являться в ее головной или дополнительный офисы (филиалы) для того, чтобы получить какую-либо банковскую информацию, или за выполнением требуемых им банковских операций, а работать в условиях, так сказать, «домашнего банка». По сути, удаленно взаимодействующие с кредитной организацией клиенты «превращаются» в своего рода разновидности банковских операционистов. Такие возможности для них создают новые банковские автоматизированные системы, реализующие технологии электронного банкинга, предлагая реальным и потенциальным клиентам кредитных организаций нетрадиционные варианты и возможности их внеофисного обслуживания или предоставления банковских услуг.

Обеспечиваемые при этом пользователям систем электронного банкинга удобства и гибкость получения ими банковских услуг привели к широкому распространению во всем мире таких технологий, как мобильные платежи и мобильный банкинги, естественно, российский банковский сектор не является исключением. Напротив, за последние несколько лет наблюдается «бум» внедрения технологий такого рода отечественными кредитными организациями, причем развитие их непосредственно следует за достижениями в области технологий компьютерной связи, — так появились, к примеру, системы Wi-Fi-банкинга. Фактически ни одно из подобных технологических и технических достижений современности не остается без внимания банковского сообщества, что не удивительно, учитывая обострение борьбы за клиентуру и рынки сбыта финансовых продуктов. Вместе с тем следует отметить, что большинство кредитных организаций не ограничивается лишь одним каналом дистанционного банковского обслуживания, наращивая «технологические мышцы» и вводя в эксплуатацию одну систему такого рода за другой.

Типичными примерами, судя по результатам анкетирования Банка России, уже стали кредитные организации, предлагающие по 3–4 варианта этих систем для юридических и физических лиц, для клиентов, предпочитающих мобильный банкинг или предоставление банковских услуг через Интернет (так называемый «интернет-банкинг»), для пользователей «наладонных» компьютеров, коммуникаторов или РDА[3] (для которых организуются также специальные wеb-сайты) и т. п. Использование разнообразных телекоммуникационных сетей и систем вызвало к жизни управляемые через сеть Интернет (далее — Сеть) банкоматы, разнообразные системы мобильного (WАР-, SМS-, GSМ-, GРRS-) и Wi-Fi-банкинга, РОS-терминалы[4], и процесс этот, судя по всему, не прекратится до тех пор, пока существуют кредитные организации, конкуренция в банковской сфере, да и так называемый «научно-технический прогресс».

В то же время на мощной волне использования в банковской деятельности достижений в областях компьютерных и телекоммуникационных технологий существенно меняются способы и условия осуществления банковской деятельности. Речь, конечно, не идет о том, что применение таких технологий изменяет сущность банковской деятельности: в конце концов под электронным банкингом понимается не более чем некий новый «транспорт», обеспечивающий доступ клиента к вполне традиционным банковским продуктам и услугам, однако особенности этого транспорта таковы, что меняется характер банковского обслуживания, а отчасти и его содержание. То и другое в свою очередь существенно изменяет состав факторов и источников рисков, связанных с банковской деятельностью, из-за чего происходит смещение профилей риска кредитных организаций.

Необходимо отметить, что как отечественные, так и некоторые зарубежные кредитные организации, даже крупные, нередко демонстрируют недостаточное осознание этих изменений, придерживаясь своего рода «традиционных подходов» к пониманию содержания банковской деятельности, не замечая при этом, что времена уже наступили другие, а вместе с ними изменилось и само содержание. Этому, по-видимому, способствует и достаточно консервативный характер банковского сообщества в целом, в котором традиционно считается, что для высшего руководства кредитных организаций квалификация в области информационных технологий является лишь факультативной. Кстати сказать, во многих случаях отсутствие или неполнота осознания «нового времени» фактически закреплены в законодательстве, регламентирующем банковскую деятельность, и российское банковское (и в широком смысле финансовое) законодательство в этом смысле также не является исключением.

В российских условиях наиболее близким примером является, естественно, Федеральный закон от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности». В его содержании отсутствует то, о чем сказано в его названии, а именно — в нем нет определения банковской деятельности как таковой. Вместо этого в ст. 5 перечислены «банковские операции и другие сделки», к которым фактически сведено понятие «деятельности», т. е. изначально неясно, что именно следует понимать под банковской деятельностью. Можно заметить, что с содержательной точки зрения все кредитные организации (или хотя бы те, которые определяются как универсальные) выполняют примерно одни и те же операции и предоставляют сходные банковские услуги, однако способы осуществления и результаты их банковской деятельности могут оказаться принципиально различными (вплоть до отзыва лицензии на это осуществление). Таким образом, дело заключается не столько в операциях, сколько в способах и условиях их совершения, которые определяет руководство кредитной организации, и применение технологий электронного банкинга это подчеркивает (в основном именно за счет смещения профилей риска кредитных организаций).

Указанное недоразумение, на первый взгляд не очень важное, на практике приводило и приводит к возникновению немалого количества новых источников банковских рисков, которые традиционно с этой деятельностью не связывались, — в сфере технологий электронного банкинга это проявляется наиболее наглядно. Внедрение систем электронного банкинга всегда приводит к такому не всегда заметному смещению профилей рисков кредитных организаций, к чему многие из них на практике оказываются не готовы. Ситуация усугубляется еще и тем, что зачастую банковская деятельность (в широком смысле, как будет показано ниже) оказывается зависимой от сторонних компаний — провайдеров, о компьютерных и телекоммуникационных системах которых специалисты кредитных организаций могут не иметь необходимых для их надежного функционирования сведений. Следствием этого становятся крупные потери кредитных организаций и их клиентов из-за компьютерных мошенничеств и хищений, сетевых и вирусных атак, ошибок и инцидентов информационной безопасности, нарушений законодательства и других негативных явлений.

Кроме того, коль скоро банковская деятельность во многом уходит в «виртуальное киберпространство», могут обостриться и все аналогичные проблемы с инсайдерами кредитной организации, которые лучше всех информированы об особенностях функционирования ее автоматизированных систем. Поэтому разработка подходов к обеспечению надежной банковской деятельности в условиях применения кредитными организациями технологий электронного банкинга стала весьма актуальной, о чем также говорит эта книга.

Фактически системы электронного банкинга появились в российском банковском секторе довольно давно, еще в начале 90-х гг. прошлого века, только назывались они тогда системами «Банк — Клиент» и не имели разновидностей[5]. Практически во всех случаях это были системы с так называемым «толстым клиентом», под которым понималось некое автоматизированное рабочее место с установленным на нем специализированным программным обеспечением для доступа к информационно-процессинговым ресурсам кредитной организации, служебными базами данных, средствами криптозащиты трафика, ограничения физического и логического доступа и т. д. Вопросы относительно банковских рисков, связанных с такими системами, как правило, не поднимались, поскольку все рисковые компоненты оставались на стороне клиента (естественно, юридического лица), и вообще в то время эти темы не обсуждались, потому что случаев несанкционированного доступа к упомянутым ресурсам было довольно мало.

За почти два прошедших десятилетия ситуация изменилась кардинальным образом и прежде всего потому, что акценты в финансовом обслуживании стали смещаться в сторону клиентов — физических лиц. Вследствие этого актуальны стали уже системы дистанционного банковского обслуживания с так называемым «тонким клиентом» — в предельном варианте, в случае банковского обслуживания через Интернет, — это обычный интернет-браузер типа Мiсrоsоft Ехрlоrеr, Nеtsсаре Nаvigаtоr, Моzillа, Ореrа и пр., через который можно получить доступ к диалоговым средствам интерфейса с процессингом кредитной организации. Одновременно возникли факторы риска, связанные с трафиком через не только локальные, но также зональные и глобальные сетевые структуры. Однако их наличие не остановило кредитные организации, стремящиеся за счет увеличения масштабов и количества вариантов дистанционного предоставления банковских услуг охватить как можно большее число клиентов, ценящих оперативность и удобство банковского обслуживания.

Как показывает изучение предложений компаний — разработчиков банковского программного обеспечения, в настоящее время в области удаленного автоматизированного (компьютеризованного) банковского обслуживания наблюдаются следующие четыре тенденции:

1) агрегация требований клиентуры кредитных организаций, их самих и корпоративных структур;

2) сочетание возможностей корпоративного и розничного банковского обслуживания;

3) создание корпоративных систем и модульная технология «Рlug-аnd-Рlау»;

4) комбинация в системах дистанционного банковского обслуживания возможностей «толстого» и «тонкого» клиента.

Вместе с тем предлагаются варианты централизованного, распределенного и комбинированного построения систем дистанционного банковского обслуживания на основе локальных и зональных вычислительных сетей.

Можно отметить, что уже несколько лет российский банковский сектор основной акцент делает на внедрении и развитии многоканального дистанционного банковского обслуживания с интеграцией разнородных информационных технологий, при этом стараясь повысить эффективность способов и средств выполнения банковских операций и сделок, а также снизить уровни банковских рисков. Последнее, к сожалению, удается далеко не всегда, поскольку встречается немало примеров внедрения кредитными организациями недостаточно апробированных и защищенных компьютерных технологий (в широком смысле), несоответствия условий, в которых применяются технологии электронного банкинга, принципам обеспечения надежной банковской деятельности. Разного рода «деклассированные элементы» отечественного социума также быстро обучаются использованию систем электронного банкинга в противоправных целях, из-за чего достаточно серьезные финансовые потери несут и сами кредитные организации, и их клиенты. За последние три года число таких случаев выросло в несколько раз, так что суммарные финансовые потери российских кредитных организаций (и их клиентов) оцениваются уже десятками и сотнями миллионов рублей.

Такие потери свидетельствуют как о недопустимо высоких уровнях банковских рисков, принимаемых на себя кредитными организациями в процессе развития и увеличения масштабов дистанционного банковского обслуживания, так и об «эффективной» реализации источников этих рисков в отсутствие пруденциальных условий применения новых банковских информационных технологий. Это в свою очередь обусловлено наличием значительного количества недостатков в организации их применения в целом и использования конкретных систем электронного банкинга, причем как самими кредитными организациями, так и их клиентами. Ответственность за это лежит на руководстве и персонале кредитных организаций (а не на клиентах, как часто считается), поскольку и банковские автоматизированные системы, и клиенты, и контрагенты относятся к их так называемым «зонам ответственности». На самом деле ничего сверхъестественного в смысле организации надежных условий использования любых технологий дистанционного банковского обслуживания нет. Дело вовсе не в технологиях как таковых, или в банковских автоматизированных системах, или их локальных либо зональных вычислительных сетях и т. п., а в том, в каких целях и как именно все эти системы применяются. Определение же условий применения этих средств является прерогативой в первую очередь руководства высокотехнологичных кредитных организации, их исполнительных органов и менеджмента на разных уровнях внутрибанковской иерархии, вследствие чего в подавляющем большинстве случаев проблемы, возникающие у кредитных организаций в рассматриваемой предметной области, непосредственно увязываются с такими недостатками в их корпоративном управлении, что оно и корпоративным-то может считаться только с серьезной натяжкой.

Происходит это потому, что специфика новых банковских информационных технологий и их значимость для современной кредитной организации и ее клиентов недостаточно оцениваются и осознаются ее руководителями (исполнительными органами). При этом специфика применения соответствующих банковских автоматизированных систем должна в оптимальном варианте прямо отражаться в специальных условиях, в которых они применяются и которые организуются исходя из требований снижения влияния сопутствующих их особенностям угроз надежной банковской деятельности, т. е. уровней рисков. По многочисленным наблюдениям и публикациям в средствах массовой информации управление банковскими рисками в отечественных кредитных организациях оставляло и до сих пор оставляет желать лучшего, и особенно это относится к управлению такими рисками, уровни которых непосредственно зависят от, так сказать, «степени пруденциальности» условий применения новых банковских информационных технологий. Как ни странно, многочисленные случаи реализации этих рисков именно по технологическим и техническим причинам редко приводят к улучшению корпоративного управления.

Очевидно, что традиционная интерпретация банковской деятельности как только лишь совершения банковских операций не только устарела, но принципиально неприемлема, т. е. вместе с внедрением кредитными организациями новых банковских информационных технологий, видов и способов предоставления банковских услуг требуется «новое мышление» их руководства и осознание влияния изменения способов и условий банковской деятельности на ее содержание и характеристики. Специфическими особенностями современного банковского обслуживания стали именно способы дистанционного информационного взаимодействия между кредитными организациями и их клиентами в информационном контуре банковской деятельности, который создается новыми технологиями. Это новое явление и новое понятие, вошедшие в банковскую деятельность, и одним из важнейших следствий этого стала необходимость изменения подходов к корпоративному управлению в кредитных организациях, а именно адаптации его к тем технологиям и системам электронного банкинга, которые внедряют эти организации, — тоже как следствие корпоративных решений о переходе к дистанционному банковскому обслуживанию. Вместе с тем принципиально важной становится и оценка обеспеченности кредитной организации ресурсами, необходимыми для надежного банковского обслуживания в этом контуре: оборудованием, персоналом, квалификацией и т. д.

В первую очередь важно осознание высшими руководителями и менеджерами, входящими в исполнительные органы кредитных организаций, того, что реализация всех технологий электронного банкинга базируется на распределенных компьютерных системах. Это в свою очередь приводит к тому, что зоны ответственности кредитной организации существенно расширяются и даже такие традиционные из них, как клиентская или внутрисистемная, радикально видоизменяются (в плане содержания указанной ответственности). Современные универсальные протоколы сетевого взаимодействия и организация телекоммуникационных сетей по так называемому «принципу открытых систем» приводят к возникновению новых факторов, обусловливающих возникновение нетипичных (и непривычных) источников компонентов банковских рисков. В настоящее время нет необходимости в пропагандировании мультикомпонентности, комплексного характера типичных банковских рисков[6], однако в отечественных кредитных организациях традиционно принято уделять содержанию процесса управления банковскими рисками лишь формальное внимание, что в условиях применения технологий электронного банкинга означает гарантированное наличие непредвиденных и некомпенсируемых рисковых компонентов.

Поэтому, исходя из значимости новых факторов и источников банковских рисков, возникающих в указанных условиях, основная часть этой книги начинается именно с рассмотрения явления информационного контура банковской деятельности при электронном банкинге и обусловленных этим факторов риска системного характера, наличие которых целесообразно учитывать в интересах обеспечения надежности этой деятельности. Изложение ведется во многом с использованием материалов Базельского комитета по банковскому надзору и органов банковского регулирования и надзора США, поскольку они наиболее полно характеризуют рисковую обстановку в условиях применения технологий электронного банкинга. С учетом условий российского банковского сектора, в котором действует ряд специфических ограничений, выделяются и анализируются с аналогичных позиций лишь несколько типичных банковских рисков. Главный проблемный вопрос для кредитных организаций при принятии решений относительно применения тех или иных технологий заключается в убеждении, что получаемые от этого выгоды заведомо будут больше, чем возможные потери из-за затрат на внедрение и эксплуатацию банковских автоматизированных систем, реализующих такие технологии, и на компенсацию реализации компонентов банковских рисков, связанных с ведением бизнеса в «киберпространстве».

Речь не случайно идет об использовании риск-ориентированного подхода при анализе проблем, сопутствующих внедрению технологий электронного банкинга. Необходимо подчеркнуть, что в современных российских условиях с почти полным отсутствием законодательных и других нормативных актов, относящихся к области так называемых «электронных финансов» или, как иногда говорят, «предоставления финансовых услуг в электронной форме», пустота этого сегмента правового поля оказывает крайне негативное влияние на обеспечение надежности банковской деятельности, практически полностью зависящей от функционирования банковских автоматизированных систем и условий их использования прежде всего из-за отсутствия соответствующих точно определенных и установленных ориентиров. Из-за этого и наибольшая часть практических решений оказывается прерогативой вовсе не высшего руководства кредитных организаций, а менеджмента среднего звена, а то и просто персонала исполнительского уровня (что будет показано при рассмотрении процессного подхода). В рамках же риск-ориентированного подхода акцент делается на выявлении и устранении или, как минимум, ослаблении потенциального влияния источников компонентов банковских рисков (или хотя бы его хеджировании), а значит, и повышении этой надежности в корпоративном плане.

Риск-ориентированный подход весьма эффективен именно в приложении к анализу информационного контура банковской деятельности и вообще автоматизации внутрибанковских процессов в силу своей универсальности: он служит защите кредитных организаций и их клиентов от любых угроз их интересам или негативных явлений независимо от степени развития законодательной базы банковской деятельности. Очевидно, что все нюансы технологического и технического обеспечения этой деятельности никакими нормативными правовыми актами предусмотреть невозможно в силу того, что оно изначально не может регламентироваться в соответствии с действующим банковским законодательством. Из-за этого оказывается невозможно зафиксировать упомянутые ориентиры ни на федеральном, ни на отраслевом или ведомственном уровне. Впрочем, зарубежный опыт банковского регулирования и надзора показывает, что в этом нет необходимости (если, конечно, имеется развитая законодательная база, содержащая описания как порядка, так и характеристик банковской деятельности). Но тогда единственным вариантом содействия обеспечению надежности высокотехнологичных кредитных организаций остается разработка рекомендаций, основанных на здравом смысле, с указанием тех недостатков (не нарушений!), о которых лучше знать заранее и которые целесообразно устранять (лучше же — не допускать их появления), чтобы надежность банковской деятельности не снижалась независимо от того, какие именно автоматизированные системы внедряет кредитная организация. Здесь имеется в виду, что риск-ориентированный подход вполне был бы пригоден даже в условиях полного отсутствия (если можно такое представить) регламентации банковской деятельности со стороны государства (из состава банковских рисков исчез бы лишь правовой риск) для выработки рекомендаций по повышению ее технологической надежности.

Далее акцент делается на уже достаточно широко известном у нас так называемом процессном подходе, использование которого оказывается весьма желательным именно при переходе кредитной организации к дистанционному банковскому обслуживанию и его дальнейшем развитии. Как правило, такие организации, внедрившие и апробировавшие один из вариантов электронного банкинга, на достигнутом не останавливаются (к этому их подталкивает и конкуренция) и продолжают развивать это направление банковской деятельности, расширяя спектр предоставляемых клиентам сервисов и внедряя новые банковские информационные технологии и автоматизированные системы. Вследствие этого, помимо жизненного цикла таких систем, оказывается целесообразным говорить и о жизненном цикле внутрибанковских процессов. К сожалению, как свидетельствует опыт изучения деятельности российских кредитных организаций, такой подход все еще остается делом будущего (хотя автор обоснованно является его убежденным сторонником).

В свою очередь реализация такого подхода в новых условиях банковской деятельности, сущность которых определяется теми информационными технологиями, которые внедряет кредитная организация, невозможна без пересмотра организации и содержания прежде всего общих внутрибанковских процессов управления и контроля, которые в таких организациях приобретают заметную специфику. Особенности корпоративного управления в условиях применения технологий электронного банкинга заключаются в его четкой ориентации, во-первых, на учет особенностей самих технологий такого рода, реализующих их автоматизированных систем и информационного контура банковской деятельности, во-вторых, на обеспечение соответствия их применения принципам или стандартам «пруденциальной» банковской деятельности (хотя в российском банковском секторе подобная терминология пока не является общепринятой) и, в-третьих, на своевременную и адекватную адаптацию внутрибанковских процессов при внедрении и развитии дистанционного банковского обслуживания. Принципиально важным здесь является то, что, какими бы ни были технологические нововведения в обеспечении банковской деятельности, они не должны негативно влиять на выполнение кредитными организациями своих обязательств перед клиентами (имея в виду защиту их интересов) и контролирующими банковскую деятельность государственными органами. Кроме того, в современных условиях повышается важность обеспечения предоставления последним полной, своевременной и адекватной информации о банковской деятельности в целом и об операциях, совершаемых кредитными организациями по ордерам удаленных клиентов.

Отдельная глава посвящена специфической проблематике управления wеb-отношениями кредитной организации — актуальная тема в условиях использования представительств в Сети подавляющим большинством отечественных кредитных организаций. Несмотря на то что, к примеру, технология интернет-банкинга используется в российском банковском секторе уже достаточно давно (с 1997–1998 гг.), вопросам риск-ориентированного анализа отношений, возникающих в Сети между разными агентами сетевого и информационного взаимодействия, внимания в литературе до последнего времени не уделялось. Однако исследования, проводимые зарубежными органами банковского регулирования и надзора, свидетельствуют о наличии ряда достаточно «тонких» аспектов такого взаимодействия, за которыми в отсутствие их учета также скрываются источники компонентов банковских рисков, так как само наличие wеb-отношений оказывается своеобразным фактором риска как для кредитной организации, так и для ее клиентов. Обусловлено это преимущественно спецификой проявления виртуальных эффектов Сети как открытой информационной системы.

Главное же заключается в осознании необходимости модернизации ряда действующих внутрибанковских процессов, имеющих непосредственное отношение к дистанционному банковскому обслуживанию с учетом особенностей упоминавшихся новых условий банковской деятельности, а также формирования новых процессов (например, управления отношениями с провайдерами, wеb-отношениями и т. п.). Такое осознание логично связывается с разработкой своего рода новой идеологии управления и контроля, которая инициируется советом директоров кредитной организации, а затем реализуется ее исполнительными органами и менеджерами разных уровней. В связи с этим в изложении введено понятие внутрибанковского «мета-процесса», управляющего циклической адаптацией отдельных процессов, которая сама определяется темпом нововведений по направлениям применения компьютерных информационных технологий. Отсутствие соответствующего «руководящего подхода» к внедрению новых средств компьютеризации банковской деятельности вместо ожидаемых выгод может стать причиной непредсказуемого возникновения и реализации источников компонентов банковских рисков. В ситуации, когда банковская деятельность сама стала во многом информационной дисциплиной, такие компоненты могут оказаться весьма существенными и для кредитной организации, и для ее клиентов. Поэтому наиболее важным аспектом адаптации оказывается обеспечение сохранения управляемости и контролируемости банковской деятельности, переходящей при электронном банкинге в виртуальное пространство.

Содержание этой книги опирается на материалы зарубежных и международных органов банковского регулирования и надзора (в том числе представленных на ряде международных семинаров по тематике электронного банкинга), мнения зарубежных специалистов по вопросам обеспечения надежности высокотехнологичной банковской деятельности, опыт изучения организации применения технологий электронного банкинга отечественными кредитными организациями и зарубежными коммерческими банками, а также их дочерними банками, работающими на территории России. Несмотря на то что кредитных организаций, полностью свободных от недостатков, пока не выявлено (это не означает, что их не существует, — просто любой человеческий опыт имеет вполне понятные ограничения!), что и неудивительно, учитывая сложность и относительную новизну рассматриваемой тематики, все-таки результаты изучения зарубежного опыта свидетельствуют о желательности следования ему в отечественном банковском секторе, поскольку даже в отсутствие должным образом развитого финансового и, в частности, банковского законодательства использование так называемой «лучшей практики»[7] способно существенно снизить уровень ряда типичных банковских рисков (имея в виду те риски, уровни которых прямо зависят от банковских информационных технологий и реализующих их внутрибанковских процессов, процедур и автоматизированных систем).

Базельский комитет по банковскому надзору уделяет в ряде своих публикаций серьезное внимание вопросам управления рисками в условиях применения технологий электронного банкинга и корпоративному управлению в кредитных организациях. Следование его рекомендациям позволяет повысить надежность банковской деятельности в целом за счет снижения уровней рисков, которым подвергаются кредитные организации и их клиенты, а значит, обеспечить лучшую защиту их интересов.

Глава 1. Понятие и специфика технологий электронного банкинга.

Любая достаточно развитая технология неотличима от магии.

Артур Кларк.

Независимо от того, какого рода система дистанционного банковского обслуживания (ДБО) внедряется кредитной организацией, такая система фактически становится для нее своеобразными «виртуальными воротами», которые открывают доступ из «киберпространства» локального, зонального или глобального сетевого взаимодействия к информационно-процессинговым ресурсам и информационным а по сути, — к финансовым активам этой организации. Надежность банковской деятельности, которая осуществляется через такое пространство, непосредственно зависит от того, насколько организация способна управлять происходящими в нем и значимыми для нее (и ее клиентов) процессами и контролировать их течение. Очевидно, что специфика такой деятельности изначально находится в противоречии между обеспечением доступа к упомянутым ресурсам только и исключительно для легитимных пользователей (официально зарегистрированных клиентов, операторов, операционистов и т. п.), действующих в пределах точно установленных для них прав и полномочий, и технологиями, предполагающими реализацию принципов открытых систем и универсальных протоколов сетевого взаимодействия, составляющих базис большинства вариантов ДБО. Если руководство кредитной организации, внедряющей систему электронного банкинга (СЭБ), недостаточно полно представляет себе особенности проблематики ДБО с точки зрения вариативности состава компонентов типичных банковских рисков, принимаемых на себя кредитной организацией, то уровни этих рисков будут заведомо (и неоправданно) повышаться, а сами эти компоненты — реализоваться, что всегда приводит к финансовым потерям.

До настоящего времени в российском банковском секторе внедрение и применение банковских информационных технологий в целом не считается чем-то значимым с точки зрения изменения характера банковской деятельности. В подавляющем большинстве кредитных организаций этот процесс не предваряется и не сопровождается адекватным анализом состава сопутствующих таким технологиям компонентов банковских рисков. Из-за этого как сами кредитные организации, так и их клиенты оказываются подвержены новым специфическим угрозам надежности банковской деятельности. С этими угрозами кредитные организации далеко не всегда справляются, о чем свидетельствует, к сожалению, уже достаточно обширная статистика финансовых потерь этих организаций и их клиентов. При этом собственно технологический аспект оказывается в значительной степени «вторичным»: к примеру, не столь важно, каким именно путем похищаются финансовые средства — с помощью банкоматного мошенничества, через систему интернет-банкинга, за счет применения какого-то варианта фишинга, фарминга или вишинга и т. п., — важно то, что деньги исчезают именно в информационном контуре ДБО по причинам недостаточно полного учета новых факторов источников типичных банковских рисков и управления ими в кредитной организации.

Вследствие этого рассматриваемая ниже классификация технологий или вариантов ДБО может варьироваться без ущерба для общности рассмотрения этой предметной области. Она введена в основном для того, чтобы можно было выделить те особенности каналов и сред информационного взаимодействия между кредитными организациями и их клиентами, которые желательно учитывать в случаях комплексного внедрения соответствующих систем ДБО. В настоящее время компании, разрабатывающие системы такого рода, или кредитные организации, осуществляющие их самостоятельные разработки, все больше стремятся к многоканальности предоставления банковских услуг, объединяющей его варианты. Вместе с тем это, как правило, не приводит к организации комплексного анализа всей совокупности источников банковских рисков, сопутствующих каждому из каналов ДБО, а следовательно, новые источники рисков остаются «скрытыми» для кредитной организации, так что воздействие на них (т. е. собственно управление рисками) начинается нередко лишь тогда, когда они реализуются в виде финансового ущерба.

1.1. Классификация технологий электронного банкинга.

На сегодняшний день единой, устоявшейся классификации технологий электронного банкинга еще не существует. Поскольку любые технологии такого рода используются для обеспечения удаленного информационного взаимодействия между кредитными организациями и их клиентами, с наиболее общей точки зрения можно полагать, что все они в совокупности охватываются одним общим понятием систем типа (или класса) «Банк — Клиент». В тоже время исторически сложившиеся этапы развития способов и средств этого взаимодействия привели к тому, что под системами «Банк — Клиент» до настоящего времени понимаются преимущественно такие программно-технические комплексы, для функционирования которых на стороне клиента необходимо создание специализированного автоматизированного рабочего места (АРМ) на базе персонального компьютера, установка на нем специализированного программно-информационного обеспечения ДБО, задействование тех или иных выделенных каналов связи (на основе кабельных или релейных линий), а также введение на стороне кредитной организации шлюзов для передачи потоков данных (модемных пулов, маршрутизаторов, коммутаторов и т. п.).

Такие достаточно «тяжеловесные» и дорогостоящие системы получили условное название систем «с толстым клиентом»[8]. Эти системы характеризуются достаточно обширными функциональными возможностями в части ограничения прав доступа к информационно-процессинговым ресурсам клиента и кредитной организации, использования служебных баз данных и баз нормативно-справочной информации, криптозащиты сетевого трафика, а также сохранения так называемой «сеансовой информации», сопровождающей двусторонний информационный обмен (что принципиально важно для обеспечения юридической силы так называемых «электронных документов», парирования случаев «отказа от операций», разрешения спорных ситуаций и т. п.). За все эти возможности приходится, естественно, немало платить, что могут себе позволить в основном юридические лица.

В отличие от этих систем для обслуживания физических лиц гораздо удобнее и дешевле системы с так называемым «тонким клиентом», использование которых не связано с необходимостью установки на АРМ клиента специального программно-информационного обеспечения, да и само стационарное АРМ на его стороне зачастую не требуется. В наиболее «тонком» случае могут использоваться обычный браузер или система меню, что типично для технологий мобильного и интернет — банкинга. Однако в этих случаях осложняется решение всех перечисленных выше вопросов с точки зрения функциональных возможностей той или иной технологии электронного банкинга (ТЭБ) и реализующей эту технологию СЭБ. Эта книга преимущественно посвящена тому чем приходится «платить» кредитным организациям и их клиентам за удобства оперативного доступа к информационно-процессинговым ресурсам, обеспечивающим банковскую деятельность.

Вместе с тем каждый из способов ДБО и каждая используемая для его реализации банковская автоматизированная система (БАС) могут иметь ряд принципиальных отличий (прежде всего в части каналов связи и среды взаимодействия), равно как и множество особенностей, из-за чего объединение их в один класс существенно затрудняет анализ состава компонентов банковских рисков, угроз банковской деятельности, лежащих в их основе, и причин возникновения этих угроз. Для такого анализа наиболее удобна простая классификационная схема, используемая специалистами Департамента банковского надзора Банка Германии (рис. 1.1)[9]:

Применение технологий электронного банкинга: риск-ориентированный подход

На этой схеме отсутствует деление отдельных «ветвей», учитывающее специфические детали, свойственные различным технологиям электронного банкинга, поскольку для последующего изложения это не принципиально, к тому же такие варианты ДБО, как использование, скажем, систем Wi-Fi, в отечественной банковской практике еще не стали распространенными. Кроме того, не имеет принципиального значения и конкретный вариант ДБО, выбираемый кредитной организацией: важно лишь то, что «если компания не следует тенденциям изменяющихся рыночных, финансовых и технологических условий, то она недолго останется в бизнесе»[10]. В современном банковском бизнесе кредитные организации, если они не хотят потерять конкурентные преимущества, по существу, «вынуждены» переходить к дистанционному предоставлению банковских услуг, а следовательно, «радикально перестраивать» организацию своей банковской деятельности. В этой ситуации принципиально важным становится то, что речь идет именно о деятельности кредитной организации в целом, а не только о выполнении «банковских операций» и «других сделок».

Необходимо отметить также, что адекватного понимания содержания электронного банкинга до настоящего времени тоже еще не сложилось. Об этом свидетельствуют многие документы, разработанные зарубежными органами банковского регулирования и надзора, в которых приводятся определения содержания этого явления и формируется рабочий понятийный аппарат. Если попробовать сформулировать своего рода «базовое» определение электронного банкинга по таким материалам[11], то оно будет выглядеть следующим образом: «обеспечение возможностей для клиентов кредитных организаций получать удаленный доступ к своим банковским счетам через информационно-телекоммуникационные системы и, как минимум, осуществлять переводы финансовых средств между ними».

В этом определении можно увидеть своего рода «операционный» акцент, появление которого объясняется исторически сформировавшимся «примитивным» подходом к интерпретации содержания банковской деятельности и который существенно сужает подмножество факторов, обусловливающих возникновение новых источников компонентов банковских рисков, подлежащих учету и анализу в кредитной организации при переходе ее к ДБО. На самом деле при выборе той или иной ТЭБ руководству, исполнительным органам и специалистам кредитной организации всегда следовало бы анализировать особенности этой технологии с целью выявления и описания сопутствующих ей факторов риска, а также оценивать свои возможности в части управления конкретной ТЭБ и контроля ее использования с учетом специфики формируемого ею так называемого «информационного контура банковской деятельности» — нового явления в сфере банковской деятельности.

Функционирование современной кредитной организации отличается в первую очередь тем, что традиционный подход к анализу содержания банковской деятельности оказывается принципиально непригодным: он приводит к тому, что большое количество новых, нетипичных для традиционной банковской деятельности источников компонентов банковских рисков упускается из вида со всеми вытекающими отсюда негативными последствиями для кредитных организаций и их клиентов. Те и другие в такой ситуации оказываются незащищенными от новых угроз, которые вполне можно парировать при пруденциальной[12] организации этой деятельности в новых технологических условиях. Помимо этого, конкурентные условия могут способствовать и тому, что окажутся внедренными недостаточно надежные, проверенные и «отработанные» технологии электронного банкинга и реализующие их банковские автоматизированные системы из-за того, что сложность таких систем не согласуется с интервалом времени, выделяемым на их освоение и запуск в эксплуатацию. Что уж говорить о том, что дополнительной и непростой особенностью организации применения практически любой ТЭБ оказывается необходимость учета недостаточной квалификации клиентов кредитной организации в областях компьютерных и телекоммуникационных технологий.

В итоге руководству кредитной организации, принимая решение о переходе к ДБО, необходимо заранее определить круг потенциальных проблем, с которыми может быть связано такое обслуживание, и новых вопросов, которые придется решать в целях обеспечения и поддержания надежности банковской деятельности (в широком смысле имея в виду выполнение всей совокупности принимаемых на себя этой организацией обязательств как перед клиентами, так и перед теми или иными контролирующими органами). Поэтому целесообразно добиваться наиболее полного охвата предметной и одновременно проблемной области новых способов и условий осуществления банковской деятельности. Прежде всего логично достичь полного осознания модификации ролевой функции кредитной организации, внедряющей ТЭБ, предложив, к примеру, такое определение электронного банкинга: «совокупность всех организационно-технических мероприятий, реализуемых кредитной организацией с помощью технологий дистанционного банковского обслуживания для обслуживания своих клиентов (реальных и потенциальных) при выполнении этой организацией функций дистанционного финансового посредника».

В этом случае речь не идет о создании исчерпывающего понятийного аппарата высокотехнологичной банковской деятельности, тем более что в наше время «технический прогресс» продолжает видоизменять банковскую деятельность. Просто необходимо подчеркнуть, что собственно появление «дистанционности» действительно радикально меняет характер банковской деятельности. До сих пор руководство многих кредитных организаций не осознает этих изменений, так что принятие мер по приведению организации внутрибанковских процессов и составляющих их процедур (вплоть до отдельных функций) в соответствие с новыми способами и условиями банковской деятельности, формируемыми такими технологиями, начинается только после того, как новые, нетипичные (и неосознававшиеся до последнего времени) угрозы ее надежности реализуются, а сами эти организации и их клиенты потеряют немалые денежные средства.

В то же время адекватный превентивный анализ состава компонентов типичных банковских рисков, действующих в условиях применения технологий и систем электронного банкинга, гарантировано позволяет избежать неприятностей такого рода за счет заблаговременного внесения изменений во внутрибанковские процессы и процедуры, с ориентацией их на выявление, учет (мониторинг, анализ) и парирование потенциальных угроз надежности банковской деятельности. Но для этого в высокотехнологичной кредитной организации неизбежно должны произойти изменения в содержании корпоративного управления, причем каждая процедура в составе этого процесса оказывается «привязана» к особенностям вновь образуемых зон концентрации источников компонентов банковских рисков и одновременно зон ответственности кредитной организации. Эти понятия также не являются новыми, однако в условиях применения технологий электронного банкинга они приобретают новую актуальность и содержательно заметно усложняются.

1.2. Информационный контур банковской деятельности и новые факторы банковских рисков.

Внедрение технологий ДБО привело к образованию принципиально нового явления в банковской деятельности, которое можно определить понятием «информационный контур банковской деятельности» (ИКБД)[13]. В общем случае если бы о возникновении, специфике функционирования и особенностях проявления этого контура заблаговременно задумывались в каждой кредитной организации, переходящей к ДБО, то тематика анализа банковских рисков, сопутствующих внедрению новых технологий такого рода, быстро себя исчерпала бы. Как раз этого и не происходит прежде всего в силу новизны технологий как таковых и неразвитости законодательной базы банковской деятельности. Впрочем, если все, что связано в кредитной организации с ДБО, делать правильно, то ничего страшного или неприятного, связанного с новыми банковскими технологиями, для нее не происходит.

Несколько упрощенная, но тем не менее достаточная для предварительного анализа схема ИКБД, предназначенная для обоснования концептуальных положений описываемого ниже подхода, приведена на рис. 1.2. На ней условно показаны две кредитные организации в «киберпространстве».

Прежде всего целесообразно обратить внимание на основные, своего рода «системные» факторы, обусловливающие возникновение новых источников компонентов банковских рисков, — таковых можно выделить как минимум три (о других, хотя и не новых, но также принципиально важных факторах риска, сопутствующих электронным банковским технологиям как таковым, будет сказано в следующей главе). Эти факторы в первую очередь логично учитывать при организации управления рисками.

Применение технологий электронного банкинга: риск-ориентированный подход

Первый фактор заключается в возникновении для кредитной организации клиентов нового типа, которые зачастую фактически сами играют роли операционистов или близкие к ним. Очевидно, что вместе с переходом кредитной организации к ДБО, те. к такому варианту предоставления банковских услуг, когда в течение сеанса информационного взаимодействия клиент ей «не виден» и работает с ней «из-за горизонта», эта организация теряет своего рода «линию обороны» от клиента. Если в условиях традиционной организации банковской деятельности клиент должен взаимодействовать с операционным сотрудником, который не позволяет ему совершать ошибки при оформлении своих операций, создавать инциденты информационной безопасности, осуществлять противоправную деятельность и т. п., то в новых условиях предоставления банковских услуг клиенту ничто не может помешать этим заниматься. Столь же очевидно, что чем бльшую свободу действий кредитная организация предоставит клиенту в рамках ДБО и чем менее жесткие условия обслуживания для него создаст, тем больше проблем такой клиент создаст самой кредитной организации, существенно усложнив для нее сначала создание доказательной базы электронного банкинга, а затем и претензионную работу, и разбор конфликтных ситуаций. Поэтому в содержании договоров с клиентами относительно ДБО (или дополнительных соглашений к договорам банковского счета) кредитной организации необходимо учитывать те особенности удаленного взаимодействия, которые при неблагоприятном стечении обстоятельств могут негативно сказаться на выполнении ею принимаемых на себя обязательств, но не по ее вине, а по вине клиента (который, кстати, далеко не всегда это осознает).

Справедливости ради надо отметить, что и сами клиенты, взаимодействующие с кредитными организациями с помощью различных систем электронного банкинга, также не защищены от воздействия рассматриваемого фактора риска — на этом эффекте основан целый ряд мошеннических технологий, упомянутых в начале этой главы, и вариантов их реализации. Результативность атак такого рода в последнее время привела к тому, что Банком России была начата разработка специальных тематических рекомендаций для кредитных организаций, которые ориентируют их на обеспечение дополнительной защиты интересов клиентов[14]. Имеется в виду, что в условиях применения этими организациями так называемых «высоких технологий» целесообразно вместе с внедрением той или иной ТЭБ формировать специальные процедуры, ориентированные на защиту интересов клиентов ДБО и учитывающие особенности конкретной технологии и реализующей ее СЭБ (прежде всего в плане отличия от уже освоенных банковских информационных технологий). Такие процедуры разрабатываются исходя из полного понимания высшим менеджментом кредитной организации специфики ТЭБ и соответствующих средств, применяемых для обеспечения ДБО, и архитектуры ее банковских автоматизированных систем.

Эти соображения становятся основанием для пересмотра формирования политики установления взаимоотношений кредитных организаций с клиентами по предоставлению им вариантов ДБО. При этом затрагивается достаточно много аспектов, начиная с содержания договоров на конкретный вид обслуживания и заканчивая пересмотром подходов к осуществлению финансового мониторинга (ФМ), имея в виду в первую очередь мероприятия, необходимые для парирования эффектов взаимной анонимности. В частности, в содержании договоров на ДБО становится необходимо предусматривать специальные соглашения и условия относительно использования средств так называемых аналогов собственноручной подписи, применение которых допускается Гражданским кодексом Российской Федерации (ГК РФ)[15], систем ДБО или, как иногда говорят иначе, — «электронного документооборота» и обеспечения юридической силы электронных документов, расследования спорных (конфликтных) ситуаций, включая создание тех или иных согласительных и технических комиссий, и т. п.

Что касается процесса ФМ, то Банк России со своей стороны уже неоднократно обращал внимание кредитных организаций на наличие таких эффектов и необходимость принятия специальных мер по учету их в процедурах, составляющих внутрибанковский процесс[16]. Сложность ситуации с разработкой документов такого рода обусловлена в первую очередь тем, что каждая кредитная организация, внедряющая какую-либо ТЭБ, даже если эта технология хорошо известна и апробирована в банковском секторе, уникальна в смысле архитектуры своих распределенных компьютерных систем, локальных или зональных вычислительных сетей (охватывающих ее филиалы или дополнительные офисы), квалификации персонала, состава провайдеров и т. д. Поэтому формирование детальных рекомендаций по организации и содержанию процесса ФМ в условиях ДБО (как, впрочем, и многих других внутрибанковских процессов) просто невозможно, а поэтому кредитные организации по существу оказываются вынуждены самостоятельно приспосабливать этот процесс (равно как и составляющие его процедуры) к своим информационным технологиям, специфическим (зачастую уникальным) архитектурам сетевых структур и каждого ИКБД в целом, особенностям построения их банковских автоматизированных систем и т. п., на что целесообразно обращать внимание их руководству.

Вместе с тем осознание необходимости пересмотра организации и содержания процесса ФМ становится в последние годы все более актуальным в связи с теми возможностями, которые высокие технологии, включая технологии электронного банкинга, могут предоставлять для разного рода противоправной деятельности: легализации доходов, полученных преступным путем (так называемого «отмывания денег»), финансирования терроризма, хищений денежных средств, мошенничеств и т. п. При этом необходимо иметь в виду, что незаметное вовлечение кредитной организации в противоправную деятельность может привести к лишению ее лицензии на выполнение банковских операций и судебному преследованию в соответствии с законом. Поэтому руководству кредитной организации целесообразно четко осознавать возможные направления смещения уровней банковских рисков в условиях ДБО, поскольку в случае реализации компонентов правового риска такого рода оценки принимаемого ею кредитного, рыночного и других рисков теряют значение. Очевидно, что любая кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться заподозренной в участии в ускользнувшей от внимания ее сотрудников противоправной деятельности лишь из-за того, что ее высший менеджмент неадекватно представляет себе профиль риска, сопутствующий использованию новых банковских информационных технологий. Это в свою очередь вызывается тем, что условия для осуществления ДБО, которые само руководство и должно подготовить, оказываются неподходящими, почему важно помнить о необходимости создания специальных условий пруденциальной банковской деятельности в условиях ДБО, а специфика эта определяется применяемыми технологиями.

В то же время для клиента, пользующегося СЭБ для получения банковских услуг, особенно операционного характера, принципиально значимым системным фактором риска становится то, что в условиях ДБО он не имеет возможности непосредственного контроля над получением и выполнением кредитной организацией ордеров, отправляемых им через ИКБД[17]. Эта ситуация радикально отличается от непосредственного «физического» взаимодействия клиента с операционистом или кассовым работником кредитной организации — первым для него служит интерфейс с СЭБ или в более общем смысле системой типа «Банк — Клиент», вторым, в случае получения наличных денег, — банкомат, в случае платежа — РОS-терминал или его аналог. При этом необходимо подчеркнуть, что никаких теоретических разработок относительно клиентских рисков до настоящего времени не существует, мало того, во всех публикациях по рассматриваемой тематике речь практически всегда идет только о рисках банковской деятельности, хотя сами эти риски зачастую непосредственно зависят от условий, в которые кредитная организация ставит клиента ДБО. Как будет показано ниже, условия эти должны быть максимально жесткими в смысле ограничения количества «степеней свободы», которыми может воспользоваться клиент ДБО во время сеанса связи.

По существу во время сеанса ДБО клиент полностью зависим от кредитной организации (функционирования ее автоматизированных систем) и от провайдеров, которые выполняют свои функции в ИКБД между ним и кредитной организацией. К сожалению, общая «культура» банковской деятельности в российском банковском секторе до последнего времени такова, что клиент ДБО в соответствии с договором, заключаемым им с кредитной организацией, и в силу недостаточной технической квалификации и отсутствия юридической подготовки не обладает почти никакими правами, тогда как обязанностей на него налагается немало (при этом многие клиенты вообще не читают тексты договоров на ДБО). В оптимальном варианте организации договорных отношений такого рода кредитным организациям следовало бы детально знакомить своих клиентов, использующих такое обслуживание, с угрозами, которым «подвергаются» их интересы во время сеансов информационного взаимодействия с ней, причем не «по доброте душевной», а имея в виду снижение для самой себя уровней потенциально возникающих компонентов банковских рисков, о чем уже говорилось, но это, по-видимому, дело будущего (если обратиться к материалам судебных исков последних лет).

Второй фактор системного характера состоит в том, что в процесс современной банковской деятельности в условиях ДБО оказываются вовлечены третьи стороны, которые ранее к ней отношения преимущественно не имели. К их числу относятся провайдеры кредитных организаций, обеспечивающие формирование и поддерживающие функционирование ИКБД в каждом отдельном случае. Конкретные виды, состав и функции провайдеров кредитной организации определяются тем, какая именно ТЭБ и в каких целях внедряется ею, какая СЭБ реализует эту технологию, а также какие среды передачи данных и каналы (линии) связи при этом задействуются (включая интернет-провайдеров, операторов мобильной связи, платежные системы и т. п.). Очевидно, что если в процессе удаленного информационного взаимодействия сеанс ДБО окажется прерван или подвергнется другому негативному воздействию не по причинам, возникшим в кредитной организации, а из-за проблем, имевших место на территории провайдера, то клиент этой организации, интересы которого пострадали вследствие такого прерывания, обратится с претензиями именно к ней, а не к неведомому ему провайдеру, тем более что в общем случае и сам клиент может находиться в произвольном месте земного шара, где доступно использование какого-либо средства компьютерной связи. Дальнейшие последствия для кредитной организации будут зависеть от того, какой конкретно ущерб был нанесен интересам клиента ДБО, особенно в тех ситуациях, когда речь идет о невыполнении им своих финансовых обязательств перед другими сторонами.

От содержания и организации аутсорсинга такого рода[18] прямо зависят и те варианты зависимости надежности банковской деятельности кредитной организации от провайдеров, в которые неизбежно попадает эта организация вместе со своими клиентами ДБО. Вариантов здесь достаточно много — начиная с обеспечения физической связи со средой информационного взаимодействия и заканчивая обеспечением резервных маршрутов (или каналов) такого взаимодействия при возникновении аварийных ситуаций. Эта множественность вынуждает руководство и специалистов кредитной организации внимательно относиться к содержанию контрактов на аутсорсинг, тщательно анализировать варианты распределения обязанностей и ответственности за уровень обслуживания, возникающие в виртуальном пространстве, включая уровень банковского обслуживания (что, как правило, в таких контрактах просто не учитывается). Независимо от выбранной ТЭБ и состава поддерживающих ее использование провайдеров руководству кредитной организации целесообразно предусмотреть однозначные семантические связи между содержанием контрактов на аутсорсинг и договоров с клиентами на ДБО в части обязанностей и ответственности сторон.

Это может оказаться не такой простой задачей, как нередко считается в отечественных кредитных организациях, причем сложность ее обратно пропорциональна качеству решений, принимаемых в части совершенствования управления банковскими рисками в условиях ДБО. Ничего принципиально невозможного в учете источников компонентов банковских рисков, вновь возникающих из-за действия рассматриваемого фактора риска, нет — проблема заключается в полноте анализа состава ИКБД и ролевых функций составляющих его элементов (что требует понимания сути ТЭБ). Однако ситуация существенно осложняется тем, что результаты «выяснения» правовых отношений, возникающих между агентами удаленного информационного взаимодействия, почти полностью зависят от высоких технологий, а специалисты в сфере таких технологий и в области правового обеспечения банковской деятельности до сих пор говорят, как известно, «на разных языках».

Третий фактор связан с возникающей в условиях открытых систем и универсальных протоколов сетевого взаимодействия потенциальной доступностью банковских автоматизированных систем и других информационно-процессинговых ресурсов кредитных организаций, а также устройств, используемых их клиентами при ДБО, для несанкционированного доступа и сетевых атак. Угрозы такого рода появились вместе с возникновением банковских автоматизированных систем. Постоянной остается проблема возможных злонамеренных действий со стороны инсайдеров кредитной организации (в широком смысле). Технологии электронного банкинга наряду с выгодами для кредитных организаций и удобствами для их клиентов существенно расширили спектр потенциальных угроз, которые могут быть реализованы извне этих организаций и при этом настолько «дистанционно», что локализовать источник этих угроз оказывается очень непросто (в том числе ввиду слабой регламентации функционирования провайдеров кредитных организаций и контроля над ними). Вследствие появления ДБО БАС кредитной организации перестает быть «вещью в себе» и при наличии недостатков в сетевой защите и «дыр» в периметре безопасности кредитной организации оказывается доступна для вирусных, хакерских, крэкерских и прочих атак, «достижение целей» которых означает реализацию всех банковских рисков, связанных с этим вариантом банковской деятельности.

Широкое распространение интернет-технологий наряду с интенсивным использованием для банковской деятельности сети Интернет и предоставляемых в связи с этим сетевых ресурсов породило новое направление исследований, относящееся к компонентам банковских рисков, возникающими из-за так называемых wеb-отношений[19]. Их анализу будет посвящен специальный раздел настоящей книги. Эти отношения возникают при внедрении кредитной организацией такого варианта ДБО, как интернет-банкинг, и требуют в общем случае существенного дополнения процесса управления банковскими рисками новыми процедурами (которые при развитии этой ТЭБ практически составляют новый внутрибанковский процесс, в котором целесообразно согласованное участие нескольких структурных подразделений кредитной организации).

Из дальнейшего изложения можно будет выделить еще несколько менее существенных факторов возникновения источников рисков, образующих соответствующие подмножества для каждого из рассматриваемых типичных банковских рисков, однако все три перечисленных основных фактора системного плана как минимум не должны ускользать от внимания руководства кредитной организации, переходящей к ДБО. Такое понимание значимости кратко рассмотренных выше факторов в современных условиях может стать одной из наиболее важных характеристик качества корпоративного управления в высокотехнологичной кредитной организации. Необходимо отметить, что при этом изменения происходят не только в технологическом и техническом обеспечении банковской деятельности, они в оптимальном варианте должны были бы происходить и в ряде основных бизнес-процессов кредитных организаций (или в подлежащих реализации). В книге рассматриваются возможные подходы к оптимизации способов и условий банковской деятельности при внедрении и применении кредитными организациями новых технологий электронного банкинга, их совершенствовании и комплексном развитии.

Следует специально подчеркнуть, что все процессы информационного взаимодействия в киберпространстве принципиально характеризуются анонимностью агентов этого взаимодействия и установить, кто именно в конкретный момент времени «держал палец на кнопке», с полной уверенностью невозможно. В каждом случае передачи и обработки данных, которые так или иначе связаны с какими-либо активами кредитной организации (являясь либо собственно записями о них или командами на изменения их значений), любой такой процесс существует только в отдельные кванты времени в электронных устройствах или каналах связи. По завершении такого управляющего процесса от него может не оставаться никаких следов, кроме изменения значений полей в записях баз данных, почему и становятся принципиально важными файлы так называемых «компьютерных журналов», фиксирующих события, происходящие в банковских автоматизированных системах (в зависимости от назначения и содержащихся в них данных их часто называют «системными логами» и «аудиторскими трейлами»). Это в свою очередь означает, что традиционные процессы управления банковской деятельностью и контроля над ней в высокотехнологичных кредитных организациях заведомо не могут считаться эффективными — эти процессы целесообразно адаптировать к применяемым банковским информационным технологиям и системам на основе риск-ориентированного анализа, который тоже следует адаптировать к специфике таких технологий.

Указанный анализ также целесообразно строить на изучении состава и структуры ИКБД, образуемого ТЭБ, внедряемой кредитной организацией. Даже если такая организация использует две-три однородные системы разного целевого назначения (по функциям, группам клиентуры и т. п.), схожесть процессов информационного взаимодействия в них не должна вводить в заблуждение. В этом случае лучше потратить дополнительное время и силы на аналогичный анализ, но с уверенностью избежать неожиданного негативного проявления какого-либо изначально незамеченного «мелкого» источника риска. Такой подход требует, естественно, подготовки соответствующих руководящих решений и распорядительных документов, что целесообразно предусмотреть заранее, до практического начала ДБО клиентов[20], особенно физических лиц, поскольку, как показывает практика, принципиальное отсутствие корпоративной культуры создает почву для возникновения новых инцидентов информационной безопасности и неправильного использования компьютерных и телекоммуникационных технологий.

Предваряя последующее изложение, можно сделать еще несколько замечаний. Прежде всего любой вновь внедряемой технологии предоставления банковских услуг и осуществления банковской деятельности в целом сопутствует увеличение числа внутрибанковских процессов или хотя бы процедур, составляющих такие процессы. Если этого не происходит, то, как свидетельствует практика, негативные события в жизни кредитной организации и ее клиентов неизбежны из-за непредвиденных ситуаций, которые вполне можно было бы прогнозировать и зачастую просто исключить их возникновение.

Далее приходится также пересматривать уже существующие в кредитной организации процессы с точки зрения их адаптации к новым способам и условиям банковской деятельности в рамках ДБО. Как говорится в уже цитировавшемся источнике, «мы слишком часто обнаруживаем себя ограниченными ментальными барьерами, создаваемыми нами самими. Методы, хорошо работавшие в прошлом, внедрились в наше мышление… если полагаться только на прошлый опыт, то следствием будут попытки применить привычные решения к непривычным проблемам либо не будут найдены новые эффективные подходы к старым проблемам»[21]. Стереотипы руководящего мышления в новых условиях банковской деятельности, формируемых применением технологий электронного банкинга, могут оказаться серьезным дополнительным источником для компонентов всех типов банковских рисков просто потому, что содержание таких технологий сложно для понимания, а из-за этого в свою очередь руководством кредитных организаций не модернизируются своевременно внутрибанковские процессы управления и контроля, в первую очередь процесс управления банковскими рисками. Для этого процесса ресурсная база, существовавшая в кредитной организации до внедрения ТЭБ, оказывается заведомо недостаточной (также в первую очередь), однако это не замечается или замечается слишком поздно для парирования уже реализовавшихся банковских рисков.

Еще одним принципиальным аспектом внутрибанковского управления и контроля в условиях лавинной компьютеризации банковской деятельности становится увеличение опасности возникновения разрывов в этих процессах, особенно если кредитная организация использует разные варианты ДБО, каждому из которых сопутствуют уникальные подмножества источников риска. Поэтому изменения в содержании внутрибанковских процессов и входящих в их состав процедур целесообразно синхронизировать с каждым решением о развитии банковской деятельности в рамках ДБО и каждым фактом внедрения новой технологии электронного банкинга. Этому вопросу будет уделено особое внимание, поскольку речь пойдет о подходе к согласованной модернизации тех внутрибанковских процессов, от которых непосредственно зависит надежность такой банковской деятельности. Говорить об этом нужно потому, что качество корпоративного управления определяется в современных кредитных организациях и новых условиях ДБО тем, насколько реально управляемыми и контролируемыми являются банковские автоматизированные системы.

Наконец, в ходе дальнейшего развития ДБО, без чего конкурентоспособным кредитным организациям, по-видимому, не обойтись, придется вносить существенные адаптационные изменения в свои бизнес-модели. Такие изменения обычно затрагивают стратегическое планирование и работу многих структурных подразделений кредитной организации, распространяясь по ее иерархии после внедрения первой же ТЭБ и соответствующей СЭБ. В дальнейшем этот процесс неизбежно станет повторяющимся при каждом следующем «витке» спирали технического прогресса в отечественном банковском секторе. Поэтому руководителям высокотехнологичных кредитных организаций логично привыкать к «новому мышлению» в связи с применением ДБО, которое будет служить оптимизации корпоративного управления, сохранению надежности и устойчивости этих организаций, равно как и выполнению ими обязательств перед своими клиентами и контролирующими органами.

Глава 2. Типичные банковские риски, ассоциируемые с применением технологий электронного банкинга.

Не то важно, может что-либо произойти или не может, — все может произойти. Важно значение происходящего.

Суфийская Мудрость.

Проблематика банковских рисков привлекает внимание органов банковского регулирования и надзора разных стран уже довольно давно, и попытки их подробного описания и анализа имели место задолго до начала эры ДБО. Значимость потенциальных угроз надежности банковской деятельности в целом осознавалась в банковском сообществе, что выражалось, к примеру, даже в таких оригинальных формулировках, как «банковское дело — это принятие на себя риска с получением компенсации за него»[22], однако, как это ни парадоксально, до настоящего времени в публикациях, посвященных банковскому делу и сопутствующим рискам, отсутствует единый теоретический подход к определению, интерпретации и практическому применению даже базовых понятий, связанных с этой теорией. Внедрение в банковскую деятельность технологий и систем ДБО усугубило ситуацию в том плане, что на этой волне стали возникать как бы все новые и новые виды банковских рисков, из-за чего и без того не законченная методология, охватывающая выявление, оценивание, анализ, мониторинг банковских рисков и управление ими, стала размываться, затрудняя ее практическое использование.

Оборот «как бы» употреблен здесь не случайно. Несмотря на то что теоретические разработки в области рисков банковской деятельности ведутся уже более 20 лет (первые публикации систематического характера относительно отдельных компонентов таких рисков относятся еще ко второй половине 80-х гг. прошлого века), законченной или даже сколько-нибудь полной «теории» этих рисков до настоящего времени не создано — проработаны только отдельные направления. В основном такие разработки были посвящены кредитному, процентному, ценовому, валютному рискам или совокупности последних, определяемых как рыночный риск, а также риску ликвидности. Мало того, практически каждый из зарубежных органов банковского регулирования и надзора[23] до последнего времени формировал свою собственную теорию, причем общее число банковских рисков варьировалось от полутора десятков до одного (операционного, поглощавшего все остальные). Одна из таких теоретических разработок Базельского комитета по банковскому надзору (БКБН) нашла отражение в упомянутом ранее Указании оперативного характера Банка России от 23 июня 2004 г. № 70-Т «О типичных банковских рисках». В этом материале фигурируют следующие 11 банковских рисков: кредитный, страновой, рыночный, фондовый, валютный, процентный, ликвидности, операционный, правовой, потери деловой репутации и стратегический. Между тем, с течением времени и развитием банковских информационных технологий этим дело не ограничилось, поскольку возникли новые компоненты банковских рисков, уже технологического характера, которые стали вносить существенные коррективы в теоретические подходы к анализу рискованности банковской деятельности.

Вследствие этого в последних по времени выпуска материалах БКБН, посвященных основным принципам управления рисками в условиях применения электронного банкинга[24], стали фигурировать еще и такие риски, как:

— деловой;

— безопасности;

— хищений идентификационных данных;

— мошеннических действий со счетами;

— отмывания денег;

— обезличивания индивидуальности;

— отрицания транзакций,

Несмотря на то что в этой же работе отмечалось «отсутствие возникновения принципиально новых рисков» и что «деятельность в области электронного банкинга не приводит к возникновению рисков, которые не были бы уже идентифицированы в предыдущих работах Базельского Комитета». Вместе с тем было также указано, что фундаментальные характеристики ДБО и факторы, которые ассоциируются «с видами обслуживания в рамках электронного банкинга… увеличивают и модифицируют некоторые из традиционных рисков, связанных с банковской деятельностью, в особенности стратегический, операционный, правовой и репутационный риски, тем самым влияя на общий профиль риска в банковском деле». Мало того, в некоторых других материалах БКБН говорится еще и о так называемых рисках, «характеризующих электронную обработку данных в банках», а именно:

— риск непредусмотренного раскрытия информации;

— риск ошибок;

— риск мошенничества;

— риск прерывания операций;

— риск неэффективного планирования;

— риски, связанные с действиями клиентов.

В более ранних документах БКБН, посвященных типичным банковским рискам и считавшихся основополагающими в этой области, перечисленные выше разновидности рисков не упоминались и не рассматривались. Также в этих документах отсутствуют указания на совокупности «новых» банковских рисков как на компоненты типичных банковских рисков, а это, с точки зрения автора, неточность, имеющая принципиальный характер. Очевидно, что нагромождение дополнительных разновидностей банковских рисков может привести только к размыванию границ методологии, которую вряд ли когда-нибудь можно будет считать законченной.

Не лучше, чем в этом общеевропейском методическом органе банковского регулирования и надзора, обстоят дела с теоретическими исследованиями в области банковских рисков в условиях электронного банкинга и в отдельных странах. Чтобы не перегружать изложение, уместно ограничиться только двумя примерами попыток преодоления ограничений, свойственных традиционному подходу к описанию банковских рисков при переходе к анализу их специфики, обусловленной эффектами виртуального пространства, в котором осуществляется современная банковская деятельность.

В частности, Банк Нидерландов в рассматриваемом отношении выделяет следующие «нетрадиционные» риски[25]:

— риск управляемости (обусловленный недостаточной гибкостью и обеспечением банковских информационных технологий);

— риск эксклюзивности (обусловленный недостаточной защитой против несанкционированного доступа к банковским автоматизированным системам и отдельным средствам в их составе);

— риск целостности (обусловленный неточностью, неполнотой банковской информации или несвоевременностью ее поступления);

— риск контролируемости (обусловленный недостаточными функциональными характеристиками средств контроля);

— риск непрерывности (обусловленный возможной недостаточной доступностью для работы самих информационных технологий);

— риск пользователя (обусловленный возможным неправильным использованием информационных технологий).

Легко заметить некорректность приведенных формулировок, которые семантически должны были бы строиться совершенно иначе, учитывая, что при рассмотрении рисков речь всегда идет о возможности наступления событий, характеризуемых неким негативным влиянием на результаты той или иной деятельности. Эти же формулировки должны были бы строиться, например, таким образом:

— риск неуправляемости (или потери управляемости);

— риск потери конфиденциальности (или несанкционированного доступа);

— риск нарушения целостности (или искажения данных);

— риск неконтролируемости (или потери контроля);

— риск недоступности (или прерывания функционирования) и т. п.

Важно подчеркнуть, что подобные отмеченные семантические смещения во внутрибанковских документах, относящихся к организации и содержанию управления банковскими рисками, и проистекающие из общепринятого подхода, выражаемого словами «все всё понимают», недопустимы, так как «затуманивают» существо негативного явления. Следствием этого, как правило, становятся просчеты в содержании составляющих данный процесс процедур, а также пробелы в их понимании, организации и выполнении.

Наконец, в материалах одного из основных органов банковского регулирования и надзора США и старейшего из них, созданного еще в середине ХIХ в. — Управления контролера денежного обращения[26], — такие банковские риски определяются как «ключевые риски, связанные с электронными банковскими операциями», а именно это:

— риски, связанные с зависимостью от поставщиков и провайдеров;

— риски, связанные с обеспечением безопасности, целостности и конфиденциальности банковских данных;

— риски, связанные с авторизацией, аутентификацией и подтверждением достоверности и прав пользователя;

— риски, связанные со стратегией ведения бизнеса и деловыми операциями;

— риски, связанные с планированием непрерывности деловых операций;

— риски, связанные с допустимостью проведения тех или иных операций и правовыми вопросами;

— риски, связанные с компьютерными преступлениями и отмыванием денег.

При этом в более ранних и также считающихся базовыми материалах ОСС, посвященных организации банковского регулирования и надзора на основе рисков[27], перечисляются 9 банковских рисков (совпадающих с формулировками БКБН за исключением странового и фондового)[28], к которым только что перечисленные риски как будто никакого отношения не имеют.

Очевидны как сходство, так и различия в интерпретации аналогичных угроз надежности банковской деятельности, осуществляемой с использованием кредитными организациями новых компьютерных информационных технологий. Кстати, можно заметить, что при анализе рисков электронного банкинга зарубежные специалисты исключают из ИКБД собственно банковские автоматизированные системы (причем это свойственно специалистам и США, и некоторых стран Западной Европы) ’. В трактовке систем электронного банкинга как виртуальных «ворот», открывающих доступ к информационно-процессинговым ресурсам кредитной организации, такой подход представляется в значительной мере упрощенным, поскольку все подверженные влиянию источников риска ресурсы такого рода сконцентрированы в так называемом «бэк-офисе» кредитной организации. Вследствие этого и анализ содержания компонентов банковских рисков логично осуществлять на всем протяжении ИКБД, который замыкается в хранилище банковских и клиентских данных, используемых для операционной и информационной деятельности кредитной организации, включающей также предоставление информации ее клиентам по счетам и операциям, равно как и подготовку регламентной банковской отчетности для контролирующих органов.

В российской литературе, посвященной рискам банковской деятельности, также часто встречаются «новые» банковские риски, упоминаемые в связи с разными сторонами информатизации этой деятельности. Наиболее «популярными» из них стали «информационные», «технологические», «технические» риски (или их комбинации) и некоторые другие. Дело не в новых названиях как таковых, а в том, что предметная область банковских рисков как бы становится шире вместе с каждой новой банковской информационной технологией, а значит, размывается и становится безграничной и соответствующая методология (как область знаний); вместе с тем она постоянно устаревает, вследствие чего использовать ее на практике почти невозможно. На самом деле новые технологические и технические решения сами собой не приводят к возникновению новых видов банковских рисков, которые необходимо учитывать в процессе управления ими (кстати, традиционно считается, что в него входят также процедуры выявления, анализа, мониторинга и оценки уровней этих рисков) и в «изобретении» этих видов рисков необходимости нет. Противоречия, подобные приведенному, свидетельствуют, по мнению автора, о неперспективности такого «экстенсивного» подхода к описанию и анализу банковских рисков. Понимая, что увеличение «множественности видов» банковских рисков препятствует поддержанию целостности и обеспечению преемственности методологии анализа банковских рисков с течением времени и технического прогресса, логичнее было бы более детально изучать и анализировать их структуру. Следовательно, имея в виду возможное развитие их с течением времени, все перечисленные выше новые риски целесообразно интерпретировать как компоненты типичных банковских рисков, уделяя им внимание при внедрении каждой новой ТЭБ.

С одной стороны, наличие некоторого хаоса в рассматриваемой области неудивительно, поскольку осознание рассматриваемых рисков оказалось непосредственно и почти исключительно связано с долгим эмпирическим путем развития и освоения банковского дела как такового. С другой стороны, быстрое внедрение и распространение банковских информационных технологий привело к таким системным изменениям в банковской сфере, которые создали условия для неожиданных и крупных трансформаций профилей рисков, обусловленных варьирующимися факторами риска как для отдельных кредитных организаций, независимо от их размеров, так и для финансовых систем в разных странах (в силу эффекта лавинного распространения рисков). Поэтому понятие риска как вероятности каких-либо потерь (включая упущенную выгоду) повсеместно становится предметом изучения и с эвристических, и с математических позиций[29], а для высокотехнологичных кредитных организаций отсутствие единой теории банковских рисков создает дополнительные проблемы с учетом их специфических компонентов, вносимых ДБО, в процессе управления банковскими рисками (УБР).

Анализ причин возникновения технологических и технических компонентов типичных банковских рисков приводит к выводу, что основным фактором для этого (опять-таки системного характера) является превращение банковской деятельности в своего рода «информационную дисциплину», которая в современном мире естественным образом оказалась «замкнута» на компьютерные технологии и вычислительные сети. Это означает, что все угрозы надежности банковской деятельности, порождающие источники указанных компонентов, можно свести в два небольших перечня:

1) данные (банковские и клиентские), передаваемые, обрабатываемые и хранимые в ИКБД, могут быть:

— похищены,

— изменены,

— уничтожены,

2) операции, совершаемые с этими данными, могут быть:

— имитированы,

— искажены,

— блокированы.

Поэтому становится необходимым постоянное обеспечение кредитной организацией авторизации, верификации и контроля получаемых, передаваемых и обрабатываемых финансовых и других (банковских, клиентских) данных, равно как и операций, осуществляемых с этими данными. Для этого в условиях применения электронного банкинга требуются дополнительные специальные процедуры, необходимости в которых при традиционной банковской деятельности не было в силу отсутствия такого явления, как ИКБД.

Эта проблематика до сих пор не считалась значимой и актуальной, по-видимому, из-за того, что автоматизация деятельности кредитных организаций, включая ДБО, не воспринималась как системный феномен, влияющий на эффективность и качество данной деятельности и превративший эти организации в аппаратно-программные комплексы информационных систем, состоящие из двух основных частей: БАС (в широком смысле) и хранилища банковских данных. Одновременно изменился и характер целого ряда типичных банковских рисков, в которых все более значимую роль стали играть их компоненты технологического и технического характера. Отсутствие такого восприятия объясняется, вероятно, несоответствием традиционного, устоявшегося понимания содержания банковской деятельности ее радикально изменившемуся характеру, обусловленному возникновению новых вариантов ДБО. Из-за этого в кредитных организациях возникли многочисленные недостатки в осуществлении УБР, негативное влияние которых на характеристики банковской деятельности и интересы клиентов этих организаций усугубляются опережающими темпами внедрения новых банковских информационных технологий и систем электронного банкинга по сравнению с совершенствованием процесса УБР.

Чтобы не «нагромождать» все новые и новые риски в ситуациях применения кредитными организациями разнородных технологий электронного банкинга, предлагается простая модификация традиционного подхода, ориентированная на анализ состава компонентов типичных банковских рисков, который неизбежно усложняется за счет возникновения их дополнительных источников, обусловленных в свою очередь действием рассмотренных выше новых факторов риска в ИКБД. Таким образом, в предлагаемой методологии риск-ориентированного подхода постулируется, что внедрение кредитными организациями новых информационных технологий, в том числе технологий электронного банкинга, не приводит к возникновению новых видов банковских рисков, но расширяет состав факторов и порождаемых ими источников компонентов типичных банковских рисков и вызывает смещения профилей рисков, сопутствующих банковской деятельности.

Здесь уместно также подчеркнуть различие между традиционными системами «Банк — Клиент» так называемого «закрытого» типа, которые предлагались только для юридических лиц и оказывались удобны лишь в тех случаях, когда «точка входа» в такую систему оставалась стационарной (в виде АРМ), и быстро распространяющимися системами ДБО с вариативным доступом к ним. Их разновидности продолжают появляться, что связано преимущественно с развитием мобильных средств связи и сопутствующих им компьютерных систем, а значит, возникают специфические для последних источники компонентов банковских рисков, которые существенно отличают их от систем со стационарными автоматизированными рабочими местами для ДБО. В свою очередь общность рассмотрения данной предметной и проблемной области предполагает ее инвариантность к особенностям среды информационного взаимодействия, в которой действуют элементы ИКБД.

В число основных факторов системного уровня, которые принципиально повышают уровни ряда типичных банковских рисков при использовании технологий электронного банкинга, входят также следующие:

— «виртуальный» характер дистанционных банковских операций;

— доступность «открытых» телекоммуникационных систем;

— чрезвычайно высокая скорость выполнения транзакций в виртуальном пространстве;

— глобальный характер межсетевого операционного взаимодействия;

— участие компаний-провайдеров в реализации банковского обслуживания;

— возможности использования систем электронного банкинга для противоправной деятельности.

Недостатки в учете этих факторов при внедрении технологий электронного банкинга приводят к росту вероятностей реализации компонентов банковских рисков как для кредитных организаций, так и для их клиентов. В свою очередь необходимость учета этих факторов в УБР приводит к требованию уточнения понятия и содержания собственно «банковской деятельности».

Это понятие стало существенно шире за последние годы, охватывая процесс применения банковских информационных технологий, а также новые способы и средства информационного взаимодействия кредитных организаций со своими клиентами и контрагентами. Соответственно в процессе УБР необходимо учитывать это расширение, поскольку результаты банковской деятельности стали в значительной мере, если не полностью, зависеть от того, могут ли считаться условия применения таких технологий пруденциальными и каким образом обеспечивается и гарантируется технологическая и техническая надежность кредитных организаций, равно как и эффективность процессов управления и контроля в них.

2.1. Особенности риск-ориентированного подхода к внедрению и применению технологий электронного банкинга.

Как показывает анализ изменений, происходящих в составе и содержании банковских бизнес-процессов (в оптимальном варианте подлежащих внесению кредитными организациями вместе с внедрением ими технологий электронного банкинга — независимо от их общего количества и функциональных особенностей), вслед за такими изменениями могут (а лучше бы должны) следовать и изменения в организационно-штатной структуре кредитной организации. Фактически подразумевается требование адаптации распределения функциональных ролей, ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности конкретных руководителей и исполнителей на различных уровнях иерархии управления этой организации к новым банковским технологиям. Это положение относится к целому ряду специальных служб в структуре кредитной организации. Прежде всего к подразделениям, отвечающим за процесс УБР, применение информационных технологий (ИТ) и (или) автоматизацию, внутренний контроль и финансовый мониторинг (в настоящее время эти два процесса нередко реализует одно подразделение), обеспечение информационной безопасности, ведение претензионной работы, а также сервис-центр и некоторые другие. Вместе с тем все сопутствующие и адекватные складывающейся в кредитной организации ситуации изменения должны коснуться и документарного обеспечения деятельности перечисленных подразделений. Такие изменения инициируются, как правило, органами управления этой организации и реализуются соответствующими (достаточно специфическими по сути) внутрибанковскими процессами и процедурами.

На сегодняшний день полнота, адекватность и качество бизнес-процессов в кредитной организации фактически стали определяться соответствием их новому, к сожалению, не получившему пока правильного осознания принципу: «Знай свои технологии»[30]. Без преувеличения можно сказать, что большинство процедур, входящих в состав внутрибанковских процессов, реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами. Да и сама кредитная организация, если говорить о собственно выполнении банковских операций «и других сделок», о которых сказано в ст. 5 Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности», в значительной своей части представлена теперь не зданием с обозначающей ее вывеской, а БАС и хранилищем данных, доступ к которым во все большем числе случаев обеспечивают системы ДБО[31]. Таким образом, привычный «Банк» оказывается для клиента кредитной организацией не более чем «кирпичным интерфейсом», служащим для официального оформления и инициации доступа к той БАС, которая выполняет все банковские операции и совершает другие сделки (причем не обязательно в самой кредитной организации). В дополнение к этому клиент может в ряде случаев осуществлять доступ к бэк-офису кредитной организации через ИКБД, выступая фактически в роли «операциониста», взаимодействующего с ее БАС удаленно, что радикально меняет и характер отношений с ним кредитной организации, и состав так называемых «зон ответственности» этой организации, и ее «периметр безопасности»[32]. Приведенные наблюдения оказываются тем более справедливыми, что по состоянию на февраль 2009 г. большинство кредитных организаций применяет от двух до десяти систем ДБО разного или вариативного функционального назначения (пик соответствующей диаграммы приходится на 3–4 системы такого рода). Одновременно, как правило, задействуются и 2–4 wеb-сайта (по той же статистике — даже до 12!).

Внедрение любых технологий электронного банкинга не должно негативно сказываться на надежности и устойчивости высокотехнологичных кредитных организаций, т. е. уровень совокупного или агрегированного банковского риска[33] повышаться не должен. Это означает, что изменения в структурах профилей отдельных типичных банковских рисков должны происходить таким образом, чтобы профиль агрегированного риска, пусть даже меняясь, оставался контролируемым в смысле установленных для его компонентов пределов с учетом их возможного взаимного влияния. При этом подразумевается, что в кредитной организации существует описание этих компонентов в форме определений основных типичных банковских рисков, имеющих компоненты технологического и технического характера, причем в эти описания своевременно (в оптимальном варианте) вносятся коррективы, определяемые особенностями вновь внедряемой ТЭБ и реализующей ее СЭБ.

В этой книге используется иерархическая модель для профилей банковских рисков, представленная на рис. 2.1, которая была апробирована в процессе проводившихся в течение нескольких лет исследований организации банковской деятельности, осуществляемой технологиями электронного банкинга. В ней фигурируют три уровня: помимо уровня известных типичных банковских рисков (ТБР) рассматриваются также нижележащий уровень так называемых «элементарных» банковских рисков (ЭБР) и вышележащий уровень «системных» банковских рисков (СБР). Это в известной степени условные понятия, призванные лишь подчеркнуть различия между уровнями анализа состава компонентов агрегированного банковского риска: каждый ЭБР соответствует некоему недостатку в формировании организационно-технической базы банковской деятельности или, иначе, «просчету» в управлении рисками банковской деятельности в смысле превентивного воздействия на потенциальные источники компонентов этих рисков. Каждый СБР характеризует возможные последствия влияния неконтролируемого изменения профиля и повышения отдельного ТБР или их совокупности, что в итоге может привести к негативным событиям системного характера[34]: отзыву лицензии на осуществление банковских операций, банкротству, ограничению выполняемых операций и т. п. На средней условной плоскости ТБР показан профиль риска в форме Пентагона с указанием уровней пяти типичных банковских рисков.

Применение технологий электронного банкинга: риск-ориентированный подход

Чтобы удерживать уровни банковских рисков в допустимых пределах, необходимо осуществлять выявление их компонентов, анализировать причины их возникновения — источники указанных компонентов, определять меры воздействия на эти источники (осуществлять собственно УБР) и контролировать результаты такого воздействия. В свою очередь для эффективной организации и реализации перечисленных процедур в составе процесса УБР целесообразно учитывать уже разработанные и апробированные подходы к его формированию, кратко рассматриваемые ниже.

В одном из основных материалов БКБН, посвященных проблематике УБР в новых условиях[35], отмечается: «При выборе технологии электронного банкинга руководству кредитной организации следует анализировать сопутствующие ей факторы и источники рисков, а также оценивать возможности управления данной технологией и контроля ее использования». При этом специально в отношении ДБО через Интернет, учитывая способность технологий такого рода стимулировать взаимную анонимность кредитных организаций и их клиентов (скрытых средой информационного взаимодействия), говорится, что «предоставление финансовых услуг через Интернет может существенно изменить и (или) даже увеличить традиционные банковские риски (например, стратегический, репутационный, операционный, кредитный и ликвидности)». На самом деле состав банковских рисков, на изменение профилей и уровней которых влияют технологии электронного банкинга, непосредственно зависит от особенностей банковского законодательства, действующего в той или иной стране. Поэтому перечни банковских рисков, приводимые в различных руководствах зарубежных органов банковского регулирования и надзора, отвечают условиям только конкретной страны (или так называемой «объединенной Европы»), а в широком смысле они, конечно, вариативны. Кроме того, в этом же смысле рассматриваемый риск-ориентированный подход не ограничивается только рисками, которые принимают на себя кредитные организации, а распространяется и на их клиентов, что в условиях электронного банкинга приобретает, так сказать, «особую значимость», потому что риски, которым подвергаются такие клиенты, могут непосредственно преобразоваться в компоненты типичных банковских рисков (о чем чаще всего просто забывают).

В число основных характеристик современных условий осуществления банковской деятельности (которые целесообразно учитывать при стратегическом планировании использования электронного банкинга) входят:

— активная разработка и внедрение новых вариантов банковского обслуживания и сопутствующих им новых банковских технологий;

— внесение изменений в законодательство, ориентированных на повышение надежности и транспарентности банковской деятельности[36];

— дефицит специалистов в области технологий электронного банкинга на фоне их быстрого развития и распространения;

— многообразные зависимости эффективности банковской деятельности от сторонних организаций (разного рода аутсорсинга);

— усложнение контроля над процессами, протекающими в виртуальном пространстве банковской деятельности («киберпространстве»).

При этом наблюдается принципиальное противоречие между темпами развития банковских информационных технологий и законодательной базы осуществления банковской деятельности и ее обеспечения. Эти условия никак не зависят от кредитных организаций, поэтому учитывать их целесообразно как факторы возникновения потенциальных проблем, с которыми вполне вероятно им придется столкнуться при внедрении ТЭБ. Здесь уместно сделать краткое отступление, чтобы отметить некоторые особенности проявления таких факторов, о которых целесообразно подумать еще до начала этого внедрения при принятии решения относительно выбора конкретной технологии.

Прежде всего руководству кредитной организации уместно оценить, насколько хорошо известна, распространена и апробирована предлагаемая ТЭБ, поскольку история развития банковского дела знает немало примеров использования недостаточно хорошо освоенных технологий и систем такого рода, что всегда приводило к реализации компонентов всех имеющих отношение к делу типичных банковских рисков. «Пробелы» в законодательстве обычно приводят к несовпадениям в интерпретации правил и условий использования ДБО разными сторонами, оказывающимися в спорных ситуациях, связанных с недостатками в организации условий применения конкретной ТЭБ (в самом широком смысле), равно как в содержании обязанностей и ответственности лиц, от которых оно зависит, и определении степени ответственности сторон — участников конфликта. Здесь следует отметить и то, что российским кредитным организациям до настоящего времени приходится самим парировать недостатки отечественного финансового, и в частности банковского законодательства, что относится в значительной мере к содержанию текстов договоров с клиентами ДБО и контрактов с провайдерами, действующими в соответствующем ИКБД: положения этих документов подвергаются наиболее тщательному анализу в арбитражных судах.

В более узком смысле для того чтобы руководству кредитной организации определить состав факторов риска, способных негативно повлиять на процесс и результаты банковской деятельности, удобно разбить ИКБД на так называемые «зоны концентрации источников риска» (как минимум — известные специалистам кредитной организации и предполагаемые ими) и проанализировать особенности каждой из них. Первой такой зоной является клиент ДБО, последней — компоненты локальной вычислительной сети (ЛВС) этой организации, между которыми располагаются зоны, относящиеся к ее провайдерам, телекоммуникационным системам и пр., включая зональные вычислительные сети (ЗВС) в распределенных или многофилиальных структурах крупных кредитных организаций. Затем, при необходимости, отдельные факторы или источники рисков можно сгруппировать по признакам их возможного проявления в тех или иных типичных банковских рисках. Это может оказаться полезным, например, при организации управления банковскими рисками по их типам: операционный, правовой, репутационный и др. Как бы то ни было, указанные зоны подлежат описанию во внутренних документах кредитной организации, относящихся к управлению банковскими рисками, вместе с общими мерами по парированию их потенциального влияния.

В связи с этим можно определить основные подлежащие оперативному решению проблемы, связанные с новыми факторами, повышающими уровни банковских рисков при использовании технологий электронного банкинга, с чем сталкиваются соответствующие кредитные организации при создании пруденциальных условий банковской деятельности (с учетом всех зон ответственности и концентрации источников компонентов банковских рисков):

для кредитных организаций:

А) возможно снижение надежности (а вслед за этим и устойчивости) банковской деятельности из-за неадекватного учета новых факторов и источников банковских рисков, обусловленных спецификой новой ТЭБ и сложностью контроля реализующих их внутрибанковских и системных процессов;

Б) из-за различий в практической реализации кредитными организациями технологии электронного банкинга возникает необходимость в точном учете конкретного состава реально действующих факторов риска в каждом отдельном случае (варианте архитектуры БАС и систем электронного банкинга);

для клиентов кредитных организаций:

А) возможен ущерб их интересам из-за реализации неизвестных или малоизвестных им факторов и источников банковских рисков при отсутствии у них достаточной квалификации в части ТЭБ (включая понимание функционирования конкретного ИКБД в выбранном ими варианте ДБО);

Б) освоение выбранной СЭБ может оказаться серьезно затруднено из-за несоответствия характеристик собственной личности (возраст, социальное положение, образование, сфера деятельности и т. п.), следствием чего станет повышение уровней принимаемых на себя «клиентских» рисков.

Поэтому, в частности, в ряде своих материалов БКБН отмечает необходимость разработки кредитными организациями «эффективной внутрибанковской политики и практики управления проектами, жизненным циклом систем, контроля над изменениями и гарантией обеспечения требуемого качества банковской деятельности и обслуживания клиентов»[37]. Одновременно подчеркивается, что план внесения адаптационных изменений в перечисленные компоненты банковской деятельности (и внутрибанковские процессы) высшему руководству кредитных организаций целесообразно составлять еще до перехода к практической эксплуатации систем ДБО. Причем план этот должен «эффективно доводиться» до всех менеджеров структурных подразделений кредитной организации, которые будут иметь отношение к использованию новой банковской технологии.

Наиболее значимой особенностью организации процесса УБР в условиях электронного банкинга является вариативность ИКБД, компоненты которого и их потенциальное негативное влияние необходимо учитывать. При этом приходится помнить о том, что каждая ТЭБ и реализующая ее СЭБ создают свой собственный контур такого рода, и эти информационные контуры могут не только не совпадать (даже при использовании однородных технологий электронного банкинга), но и существенно различаться подмножествами источников компонентов риска, концентрирующихся в тех или иных зонах. Сами эти зоны также могут оказаться неявно выраженными, скажем, в случаях использования кредитной организацией так называемых «виртуальных частных сетей»[38], формирующих в общедоступных сетях передачи данных защищенные «туннели» передачи информации, сетевых экранов (брандмауэров) и прокси-серверов, требующих весьма тщательной настройки своего программно-информационного обеспечения, с помощью которого организуется сетевая защита. Недостатки в организации применения информационных технологий такого рода, которые известны, как правило, только узким специалистам, могут оказаться теми «виртуальными воротами» к информационно-процессинговым ресурсам бэк-офиса кредитной организации, на которые обычно нацелены хакерские, вирусные и прочие сетевые атаки.

Очевидно, что риск-ориентированный подход требует не только составления схем ИКБД, определения и описания зон концентрации источников компонентов банковских рисков, но и комплексного анализа их потенциального влияния на указанные ресурсы. При этом важно постараться охватить процессом УБР все каналы информационного взаимодействия кредитной организации с клиентами или, при неблагоприятном стечении обстоятельств, — со злоумышленниками, имея в виду, что в условиях развитых филиальных структур необходима организация мониторинга влияния источников компонентов банковских рисков во всей структуре подразделений кредитной организации и для всех ее систем электронного банкинга (особенно в ситуациях, когда услуги электронного банкинга предоставляются филиалами), охватывая также и БАС (о чем нередко забывают).

2.2. Классификация банковских рисков и их компонентов.

Основной акцент при рассмотрении факторов и источников компонентов банковских рисков необходимо делать на выполнении кредитной организацией своих обязательств перед клиентами ДБО и на защите их интересов. Безусловно, это не означает, что кредитные организации забудут о своих коммерческих интересах, но, с точки зрения автора, риск-ориентированное рассмотрение проблематики ДБО может считаться полноценным только в том случае, если оно одновременно и «клиент-ориентированное». В банковской сфере сосредоточены интересы огромного числа клиентов кредитных организаций, которые всегда будут оставаться зависимыми от доверия к ним со стороны таких клиентов. Отсутствие доверия, как справедливо подчеркивается в материалах БКБН, способно вызвать кризисные явления в этой сфере. Достаточно заметить, что количество клиентов ДБО у разных кредитных организаций, действующих на территории Российской Федерации, варьируется от нескольких сотен до нескольких сотен тысяч, так что процессы УБР и претензионной работы целесообразно рассматривать как не менее важные, чем собственно операционная деятельность кредитных организаций (к сожалению, такой подход пока еще нельзя считать распространенным в отечественном банковском секторе).

Как бы то ни было, кредитным организациям, переходящим к ДБО, целесообразно осуществлять упреждающий анализ влияния описанных выше основных факторов возникновения новых компонентов банковских рисков на эффективность банковской деятельности в целом. Типичные банковские риски, в составе которых имеются сопутствующие ДБО компоненты административно-организационного, технологического и технического характера, перечислены в упоминавшемся ранее Письме Банка России от 31 марта 2008 г. № 36-Т (далее — Письмо 36-Т). То, что акцент в этом документе сделан на технологии интернет-банкинга, не сказывается на общности рассмотрения, поскольку практически все изложенное в этом документе можно непосредственно соотнести со всеми остальными технологиями ДБО. К числу банковских рисков, с которыми ассоциируются указанные компоненты, в Письме 36-Т отнесены: стратегический, операционный, правовой, репутационный риски и риск ликвидности (который в условиях электронного банкинга модифицируется в риск неплатежеспособности[39]).

Прежде чем перейти к дальнейшему изложению, следует сделать некоторые пояснения относительно отбора типичных банковских рисков для последующего анализа. Дело в том, что из общего числа этих рисков в зависимости от особенностей действующего банковского законодательства некоторые себя никак не проявляют, тем не менее это не означает, что с внесением изменений в законодательство они не заявят о себе в будущем. Поэтому ниже приводятся выдержки из материала Управления контролера денежного обращения США(ОСС)[40], в котором рассматриваются все классифицированные этой организацией банковские риски, рассматриваемые на примере ДБО в варианте интернет-банкинга и приводимые здесь в качестве наиболее полного варианта анализа такого рода. Эти выдержки (как, впрочем, и сам цитируемый документ) могут оказаться полезными при принятии в кредитной организации руководящих решений относительно содержания ДБО и организации пруденциальных условий его применения. В этих рекомендациях речь идет о следующих девяти (основных?) банковских рисках’:

— кредитном;

— операционном;

— ценовом;

— ликвидности;

— процентном;

— валютном;

— правовом;

— репутационном;

— стратегическом.

Затем кратко излагаются описания факторов возможного повышения уровней каждого из перечисленных банковских рисков (свойственные, естественно, американской действительности).

В качестве причин повышения уровня кредитного риска в рассматриваемом материале упоминаются следующие: «Отсутствие личного контакта с клиентами при взаимодействии через Интернет может привести к возникновению проблемы верификации истинности личностей клиентов и в дальнейшем к ошибочным решениям в части кредитования. Могут возникнуть трудности при подтверждении залога и выполнении соглашений по обеспечению безопасности совершения операций интернет-банкинга.

При отсутствии правильного управления [кредитованием][41] использование интернет-банкинга может привести к концентрации кредитов у заемщиков или кредитов в отдельной отрасли производства.

Возможно недостаточное осознание советом директоров и руководством [кредитной организации] дополнительных факторов кредитного риска в связи с применением технологии интернет-банкинга».

Очевидно, что в российских условиях приведенные соображения пока еще не стали актуальными в силу известных законодательных ограничений.

В отношении операционного риска в цитируемом материале ОСС отмечается, что «возможны ошибки при выполнении и (или) отказы в предоставлении услуг интернет-банкинга в связи со сбоями в функционировании системы или программного обеспечения. Клиенты, осуществляющие деловые операции через Интернет, скорее всего не потерпят ошибок или промахов со стороны финансовых учреждений, которые не обладают специальными средствами внутреннего контроля для управления проведением операций в рамках интернет-банкинга. Подобным образом клиенты ожидают непрерывной доступности конкретной услуги и wеb-страниц с простой навигацией (ориентацией) по ним.

В дополнение к операционному риску ошибки в клиринге могут повысить репутационный риск, риск ликвидности и кредитный риск».

Здесь следует отметить, что в условиях электронного банкинга операционный риск характеризуется существенно большей вариативностью, нежели предусмотрено в материале ОСС, поскольку в его состав входят компоненты, относящиеся ко всему ИКБД, включая не только wеb-сайты кредитных организаций, но и разнообразные каналы (линии) связи, системы основных и суб-провайдеров, возможные сетевые атаки, а также самих клиентов указанных организаций, о чем в рассматриваемом материале вообще не упоминается (возможно, в силу более высокой компьютерной грамотности населения США, хотя это в данном случае не принципиально).

О ценовом риске сказано следующее:

«Банки могут оказаться подвержены ценовому риску, если они начинают или расширяют депозитный брокеринг, торговлю кредитами или программу страхования от риска в результате деятельности в рамках интернет-банкинга. При осуществлении интенсивного трейдинга активов возможно наличие недостатков в действующих системах управления для измерения и мониторинга ценового риска, а также управления им».

Этот риск для отечественных кредитных организаций, применяющих технологии электронного банкинга, пока что не актуален.

В части риска ликвидности отмечается только то, что: «Возможно значительное увеличение изменчивости в депозитах, поступающих от клиентов, которые держат свои счета только из соображений [наиболее выгодных] ставок или сроков.

Системы управления активами/пассивами и кредитным портфелем должны соответствовать услугам, предлагаемым в рамках интернет-банкинга».

Надо отметить, что с понятием «ликвидность» здесь связан лишь традиционный смысл, т. е. используемая семантика не учитывает давно уже ставших традиционными проблем не столько с наличием у кредитной организации финансовых средств (ликвидных активов), сколько с их получением клиентами в требуемые им моменты времени. Это актуально во всех случаях так называемых «электронных переводов»[42], в том числе когда клиентами кредитной организации являются не только физические лица, но и юридические, включая другие кредитные организации. Об этом подробнее будет сказано ниже при рассмотрении полных формулировок банковских рисков и «заложенных» в этих формулировках причинно-следственных связей между негативными событиями и их последствиями для кредитных организаций, предлагающих ДБО, и соответствующих клиентов.

Учет особенностей изменения процентного риска также представляется пока что не актуальным, однако в интересах полноты изложения следует привести относящуюся к нему цитату: «Интернет-банкинг может способствовать формированию депозитных, кредитных и других отношений с более широким кругом потенциальных клиентов, чем другие формы маркетинга. Доступ более широкого круга клиентов, заинтересованных преимущественно в наиболее высоких процентных ставках или сроках, усиливает потребность руководства [кредитной организации] в поддержании на должном уровне систем управления активами/пассивами, включая способность быстрого реагирования на изменяющиеся рыночные условия».

Также в плане ДБО пока неактуально повышение уровня валютного риска, о причинах которого сказано, что: «Возможны недостатки в системах контроля для приема депозитов от клиентов-нерезидентов или открывающих счета, номинированные в валютах, отличных от доллара США».

Что касается правового риска, то его возникновение связывается с такими проблемами, как «недостаточно развитая нормативная база, применимая к операциям электронного финансового обслуживания, включая интернет-банкинг. Возможны недостатки в контроле над выполнением требований, применимых к электронному обслуживанию и предоставлению услуг через Интернет или отсутствие такого контроля. Возможно невыполнение правила „знай своего клиента“ и нарушение запретов, наложенных на некоторых из них».

Сказанное здесь вполне справедливо, но это не все, что желательно учитывать в процессе УБР: практика свидетельствует, что структура этого риска значительно усложняется.

То же самое относится к репутационному риску (или, иначе, риску потери деловой репутации[43]), причем он оказывается тесно связан с правовым и операционным банковскими рисками. Относительно него сказано, что «репутации банка может быть нанесен ущерб при обслуживании в рамках интернет-банкинга, если оно плохо организовано, не соответствует требованиям рынка или как-то иначе отталкивает клиентов и общественность».

Наконец, в части стратегического риска акцент сделан на том, что «возможно недостаточное осознание руководством рисков, связанных с применением интернет-банкинга, до принятия решения о внедрении этого вида деятельности. Возможно несоответствие технологии внедрения системы интернет-банкинга деловым целям в стратегическом плане и установленным границам для рисков. Возможны недостатки в уровне развития технологий и информационных систем управления для внедрения системы интернет-банкинга. Возможен недостаток ресурсов в банке для идентификации, мониторинга и контроля рисков в деловых операциях интернет-банкинга и нехватка квалификации персонала. Требуется учет изменений, которые электронные финансовые технологии, такие как интернет-банкинг, вносят в конкуренцию».

Необходимо заметить, что анализ этого банковского риска также не совсем полон, тем более что из-за взаимного влияния рисков он также связан с другими: операционным, правовым и репутационным. Кроме того, акцент на технологии интернет-банкинга представляется несколько устаревшим, тем более что и во время выхода рассмотренного материала применялись разнообразные системы электронного банкинга; тем не менее все цитированное в американских условиях своей актуальности не утратило, а в отечественных такая актуальность постепенно возникает.

Возвращаясь к Письму 36-Т, надо сказать, что оно является первым документом, в котором проведен детальный анализ как собственно типичных банковских рисков, явно связанных с ДБО, так и подхода к организации ряда внутрибанковских процессов, не только непосредственно имеющих отношение к управлению рисками, но подлежащих модернизации в связи с изменениями в профиле риска кредитной организации, обусловленными ее переходом к ДБО. Вместе с тем этот документ являет собой первый пример того, как проблематика ДБО фактически вынуждает российские кредитные организации учитывать смещение своих профилей рисков, чтобы удерживать эти риски в допустимых пределах и тем самым предотвратить возможное негативное влияние их реализации на выполнение обязательств перед своими клиентами и Банком России как органом банковского регулирования и надзора. В этом документе выделены пять типичных банковских рисков, в структуре которых явно присутствуют компоненты технологического и технического характера, которые целесообразно учитывать в процессе УБР:

— операционный;

— неплатежеспособности (ликвидности);

— правовой;

— репутационный;

— стратегический.

Следует заметить, что этот перечень справедлив на время написания настоящей книги, и практические исследования подтвердили его адекватность ситуации, складывающейся в отечественном банковском секторе вместе с интенсивным внедрением и развитием кредитными организациями технологий электронного банкинга, однако он вполне может оказаться недостаточным по мере развития банковских информационных технологий.

К примеру, в число подлежащих дополнительному анализу типичных банковских рисков может войти страновой риск, если речь зайдет о трансграничном банковском обслуживании или так называемом оффшоринге. В одном из своих материалов БКБН делает на этом специальный акцент, хотя по состоянию на сегодняшний день только определена собственно предметная область, вследствие чего говорить.

О каких-либо конкретных рекомендациях пока еще преждевременно, за исключением таких, как определения базовых принципов, служащих наиболее общими ориентирами[44]:

«Принцип 1: до того как начать деятельность в рамках трансграничного электронного банкинга, кредитной организации следует провести должное оценивание риска и принимаемых на себя обязательств, в результате которого в ней будет внедрена эффективная программа управления рисками данной деятельности.

<…>

Принцип 2: кредитной организации, собирающейся приступить к обслуживанию в рамках трансграничного электронного банкинга, следует разместить на своем wеb-сайте информацию, достаточную для того, чтобы ее потенциальные клиенты могли получить достоверные сведения об этой организации как юридическом лице, включая страну дислокации и лицензионные данные».

В основном в материалах такого рода обсуждаются вопросы учета несоответствия содержания законов о банковской деятельности разных государств, проблемы расследования подозрительной банковской деятельности, в которой участвуют коммерческие банки разных стран, и вопросы международного взаимодействия органов банковского надзора.

В любом варианте электронного банкинга, чтобы исключить факторы повышения уровней банковских рисков и неконтролируемые смещения их профилей из-за влияния на банковскую деятельность особенностей виртуального киберпространства, которое служит средой взаимодействия кредитных организаций со своими клиентами и контрагентами, в кредитных организациях целесообразно адекватно модифицировать подходы к управлению этими рисками. Это означает учет прежде всего невозможности непосредственного контроля человеком процессов, происходящих в любой компьютеризованной среде (включая телекоммуникационные системы), и отсутствия разработанного законодательства, которое регламентировало бы предоставление финансовых услуг в электронной форме, т. е. основных принципиальных проблем УБР, сопутствующих эксплуатации систем ДБО. Однако помимо них имеется еще значительное число проблемных вопросов, которые хотя и не являются принципиальными в условиях пруденциальной организации применения кредитными организациями ДБО, но становятся таковыми при отсутствии указанных условий, приводя к возникновению отнюдь не неизбежных источников компонентов банковских рисков.

В то же время эффективное УБР вряд ли возможно без полного понимания изменений, которые могут происходить в структурах типичных банковских рисков, и вызывающих их причин. Соответствующие описания целесообразно включать в такой внутрибанковский документ, как «Положение об управлении банковскими рисками» или аналогичный ему. Ниже приводятся с учетом положений Письма 36-Т некоторые соображения о том, с какими изменениями в указанных структурах могут сталкиваться кредитные организации, переходящие к ДБО.

2.3. Изменение профиля стратегического риска.

Наиболее серьезные негативные последствия для кредитной организации, внедряющей какую-либо ТЭБ и соответствующую СЭБ, связаны с реализацией компонентов стратегического риска. Это нисколько не противоречит тому факту, что многие организации российского банковского сектора успешно прошли этапы внедрения и опытной эксплуатации систем ДБО, которые стали для них весьма прибыльными. Другое дело, что неудачные проекты, естественно, не приобретают известности, а не окупившиеся затраты на разработку сложных и дорогостоящих систем электронного банкинга становятся физической оценкой этого вида риска.

В общем случае компоненты стратегического риска связаны с возможными текущими и перспективными финансовыми потерями, обусловленными неправильными бизнес-решениями и (или) несоответствующей реализацией ключевых решений такого рода в кредитной организации, что приводит к невозможности достижения ею своих бизнес-целей и (или) чрезмерным затратам на внедрение и сопровождение используемых банковских технологий и автоматизированных систем. К ним относятся также неправильное распределение ресурсов, ошибки в выборе (способах, комбинации) видов предоставляемых банковских услуг, неадекватные принятым или планируемым бизнес-моделям технологические и организационно-технические решения, а также неоправданные вложения крупных средств в неперспективные проекты или банковские автоматизированные системы, ошибки, допущенные в маркетинговой, рыночной, конкурентной, технической политике и т. п. Важно учитывать также, что с этим видом банковского риска могут быть связаны все остальные четыре риска, которые рассматриваются здесь в приложении к технологиям электронного банкинга.

Такие связи неизбежно возникают и между компонентами стратегического риска, относящимися к ошибочным решениям. Тогда их негативный эффект может усилиться, поскольку сделанные в рамках проекта СЭБ затраты могут недостаточно контролироваться, особенно в тех случаях, когда неудачный проект затрагивает несколько внутрибанковских процессов и соответствующих структурных подразделений кредитной организации. Поэтому даже в тех случаях, когда преимущества нового бизнес-направления очевидны, нецелесообразно отказываться от типовых этапов внедрения автоматизированных систем, важнейшим из которых является подготовка и обсуждение технико-экономического обоснования (ТЭО). Тем не менее зачастую этот и другие связанные с ним документы в кредитных организациях просто отсутствуют, так что даже удачный проект может оказаться связан в итоге с существенными непредвиденными дополнительными расходами.

В зарубежной практике банковского регулирования и надзора считается уместным контролировать не только содержание планов информатизации (автоматизации) банковской деятельности, но также достаточность их обоснования и ход поэтапного выполнения, включая связанные с ними процедуры. Например, вновь внедряемая технология должна быть ориентирована на совершенно конкретную клиентуру, которая по данным, скажем, маркетинговых исследований воспользуется новыми сервисами, предлагаемыми кредитной организацией и реализуемыми с помощью той или иной СЭБ. Вместе с этим должны быть четко определены порядок ее внедрения, взаимодействия тех или иных специалистов кредитной организации с клиентами ДБО, вопросы поддержки со стороны сервис-центра, содержание возможной претензионной работы и т. д. Если речь идет о предполагаемом массовом продукте, то необходимо рассчитывать производительность СЭБ и БАС, организовать процедуры контроля динамики развития новых сервисов, роста клиентской базы и количества ордеров, поступающих в кредитную организацию, и пр.

Следует специально отметить, что при внедрении проектов электронного банкинга необходимо уделять внимание взаимным связям между внутрибанковскими процессами, без учета которых реализуются такие компоненты стратегического риска, которые нередко считаются косвенными или просто не учитываются. Например, внедрение СЭБ, реализующей принципы открытых систем и универсального протокола сетевого взаимодействия, приводит к необходимости пересмотра периметра безопасности кредитной организации, который заметно расширяется и вместе с клиентом ДБО «уходит за горизонт» и принятию серьезных новых мер по его защите, а также по контролю использования ТЭБ. На том и другом всегда делается акцент зарубежными органами банковского регулирования и надзора[45], о чем пойдет речь в параграфе, посвященном адаптации УБР. Между тем вносить изменения в связанные внутрибанковские процессы следует согласованно и не упуская из виду суть происходящих изменений, поскольку неадекватность организации процесса ФМ может привести к тому, что внедрение дорогостоящей СЭБ негативно скажется на «имидже» кредитной организации в глазах правоохранительных органов и неожиданно окажется стратегической ошибкой.

Уже этих примеров достаточно для того, чтобы охарактеризовать многообразие проявлений стратегического риска, особенно в связи с другими банковскими рисками. В этом плане недостаточная, с точки зрения клиентов кредитной организации функциональность банковских автоматизированных систем и (или) систем электронного банкинга, равно как неудобство в работе с ними, приводит, как правило, к негативной реакции пользователей СЭБ, которые либо отказываются от предлагаемых сервисов, либо переходят на обслуживание в другую кредитную организацию. Это приводит к неокупаемости такой автоматизированной системы по причинам репутационного плана, но результат всегда один, и только в лучшем случае он связан для кредитной организации с упущенной выгодой.

В российской практике электронного банкинга, пусть и не такой продолжительной, уже было немало случаев просчетов даже по приведенному выше небольшому перечислению проблемных вопросов. Типичная ситуация, связанная с реализацией компонентов стратегического риска, может развиваться как неумышленная атака типа «наводнение» (flооd-аttаск), при этом ее причинами становятся и недостаточная производительность БАС и СЭБ, и отсутствие контроля характеристик динамики ДБО, и ошибки в расчетах требуемой пропускной способности каналов (линий) связи.

В качестве одного из примеров такого рода можно привести историю, произошедшую не так давно с российской кредитной организацией, в свое время являвшейся одним из лидеров ДБО: после того как в какой-то момент времени к ее системам электронного банкинга одновременно подключились около тысячи клиентов, направляемые ими ордера вызвали перегрузку производственных мощностей и организация была вынуждена остановить ДБО. Следствием этого, также непредвиденным, стало массовое обращение клиентов в ее сервис-центр, который не был рассчитан на такую нагрузку, так что получить объяснения относительно прерываний в обслуживании большинству клиентов оказалось невозможно. Этой кредитной организации пришлось в авральном порядке несколько дней заниматься техническим перевооружением, чтобы избежать реализации правового и репутационного рисков, но компоненты стратегического риска уже реализовались в незапланированных расходах на осуществление технической реорганизации. Всего этого можно было бы избежать, если бы в организации были бы заблаговременно приняты организационно-технические меры по оперативному (или, если не в режиме реального времени, то регламентному) контролю производительности банковских автоматизированных систем и приведению ее в соответствие с потребностями клиентов ДБО.

Аналогичная ситуация, но связанная уже с компонентами правового риска, возможна, если функциональные характеристики СЭБ и поддерживающей ее БАС недостаточны для гарантированного обеспечения информационной безопасности. При этом просчеты нередки не только из-за того, что имеются неконтролируемые информационные сечения между теми или иными системами и подсистемами в кредитной организации или в ИКБД, но часто из-за того, что не прогнозировались ошибки, допускаемые клиентами.

Руководству кредитной организации, принимая решение о переходе к ДБО через открытые системы (в том числе — через Интернет), целесообразно, по сути, провести некоторые специализированные исследования, в том числе в части оценки зависимости этой организации от «третьих лиц», присутствующих в ИКБД, прежде всего от провайдеров разного рода. Организация отношений с ними также может относиться к стратегическим решениям, так как известно, скажем, немало примеров сетевых атак, ориентированных на финансовые учреждения, но осуществлявшихся через компьютерные системы других компаний. Такая атака типа «распределенный отказ в обслуживании»[46] имела место и в отношении уже упоминавшейся кредитной организации, причем обращение ее специалистов к провайдерам с просьбой помочь парировать ложный трафик нашли отклик далеко не у всех таких компаний. Те, кто отказался помочь, ссылались на контрактные обязательства, которые касались только обеспечения конкретных каналов (линий) связи, их пропускной способности, поддержки серверов и т. п., но не содействия в организации сетевой защиты и участия в ней. В итоге этой кредитной организации пришлось пересматривать, а точнее, строить заново свою «политику отношений» с провайдерами. Кстати, это до настоящего времени «больной» вопрос для многих кредитных организаций, особенно тех, кто работает в условиях недостаточно развитой региональной инфраструктуры и отсутствия конкуренции между различными провайдерами (но тем не менее берется за ДБО!).

Таким образом, возможны существенно различные сценарии возникновения угроз надежной банковской деятельности в части компонентов стратегического риска, связанных с применением ДБО, и такие сценарии целесообразно рассматривать, разрабатывая модели потенциальных угроз эффективной реализации ключевых решений, принимаемых руководством кредитной организации по направлению внедрения информационных технологий. Тем более принятию недостаточно продуманных руководящих решений в части перехода к ДБО должно препятствовать ТЭО (почему это в основном и важно). Впрочем, следует заметить, что разработка систем поддержки принятия решений или, как иногда говорят, информационных систем управления[47] пока не стала распространенной практикой в российском банковском секторе.

2.4. Изменение профиля операционного риска.

Причины, приводящие к возникновению компонентов операционного риска при ДБО, наиболее разнообразны по сравнению с другими видами банковских рисков. От них зависят возможные текущие и перспективные финансовые потери, обусловленные ошибками при выполнении банковских операций (что может привести к неправильной реализации учетных и расчетных процедур), мошенническими действиями в отношении кредитной организации (включая несанкционированные транзакции, хищения финансовых средств в электронной форме и пр.), нарушением непрерывности (доступности) и (или) переходом автоматизированных систем кредитной организации, используемых для осуществления банковской деятельности, в «нештатные» режимы функционирования (вследствие возможных аварий, отказов и сбоев оборудования как самой кредитной организации, так и ее провайдеров, в каналах связи и т. п., из-за чего возможны потери клиентских транзакций, данных и невыполнение ею обязательств перед своими клиентами). К этому же примыкают случаи несанкционированного сетевого доступа злоумышленников к информационно-процессинговым ресурсам кредитной организации.

Независимо от того, что именно является причиной нарушения штатного функционирования банковских автоматизированных систем кредитной организации и ее систем электронного банкинга, результатом этого всегда будет являться невыполнение ею тех или иных взятых на себя перед клиентами ДБО обязательств, т. е. снижение ее надежности по причине невыполнения положений соответствующих договоров. Базовых обязательств такого рода пять — они относятся к следующим понятиям:

— доступность обслуживания (непрерывности функционирования);

— состав функций («полнофункциональность»);

— финансовые операции (денежные обязательства);

— временные характеристики (своевременность обслуживания);

— конфиденциальность информации (информационная безопасность).

Только выполнение всех перечисленных обязательств без каких-либо отклонений от установленных договорами уровней обслуживания (в отношении клиентов) при дистанционном предоставлении банковских услуг свидетельствует о надежности как банковской деятельности, осуществляемой кредитной организацией, так и ее самой (впрочем, как показывает практика, в текстах таких договоров подобное перечисление можно встретить крайне редко). Речь здесь идет, естественно, о технологической и технической стороне понятия надежности[48].

Вследствие этого наличие или отсутствие разнообразных источников компонентов операционного риска зависит и от того, как кредитная организация решает «типовые» вопросы обеспечения надежности функционирования компьютерного оборудования, и от решения ею специфических для ДБО вопросов. В различных источниках, отечественных и зарубежных, приводятся статистические данные относительно влияния угроз штатному функционированию компьютерных систем на этот показатель банковской деятельности: в среднем можно считать, что 60 % случаев прерываний бизнеса обусловлено сбоями в работе автоматизированных систем организаций. При этом наиболее частой общей причиной сбоев в их работе считаются внедрение или изменение информационных технологий и (или) программных приложений, которые не были:

— правильно спланированы (включая «откат» в исходное штатное состояние);

— полностью протестированы (включая модели и сценарии развития угроз).

Прерывания функционирования автоматизированных систем в целом обусловлены различными ошибками/сбоями в соотношении:

— технологические сбои — 20 %;

— ошибки процессов — 40 %;

— ошибки персонала — 40 %.

Все перечисленное здесь наглядно характеризует степень зависимости результатов современной банковской деятельности от надежности компьютерных систем кредитной организации, что должно полностью осознаваться ее руководством и адекватно учитываться при распределении ресурсов. Для многих средних и небольших организаций выделение достаточных ресурсов на обеспечение надежности внедряемых банковских информационных технологий становится непростой задачей, если такие технологии, как ДБО, внедрялись недостаточно обоснованно, или в силу недостаточного осознания значимости указанных технологий и реализующих их автоматизированных систем финансирование осуществляется по «остаточному принципу».

Ошибки при выполнении банковских операций — явление уже относительно редкое, в этом случае имеются в виду преимущественно неточности, связанные с информационными сечениями ИКБД, в которых происходит какой-то перенос данных из одной среды хранения в другую (ошибки операционистов кредитной организации или клиентов при заполнении интерфейсных полей, преобразование форматов, переписывание из одной базы данных в другую и пр.). Тем не менее если СЭБ и БАС совместно с ней не подвергаются тщательным испытаниям (включая результаты неправильных действий пользователей), то все непроверенные варианты будут «проверены» уже в реальной эксплуатации этих систем[49], что приведет к неизбежным дополнительным затратам на поиск пропавшего контента ордеров клиентов, отладку программно-информационного обеспечения этих систем, лишней претензионной работе и т. д. Во многих российских кредитных организациях подобные ситуации не редкость, особенно когда речь заходит о противоправной деятельности, связанной с искажениями в полях записей баз данных кредитной организации или хищением средств со счетов клиентов, что обычно происходит из-за недостатков в обеспечении информационной безопасности.

Последнее может иметь место в тех случаях, когда в СЭБ и (или) БАС остаются «лазейки», позволяющие осуществлять несанкционированный доступ (НСД) к массивам данных и банковскому программному обеспечению. В ряде практических случаев такого рода операторы, находящиеся в информационных сечениях между СЭБ и БАС, располагают возможностями, к примеру, подмены реквизитов платежных документов клиентов ДБО или имитации поступления от них соответствующих ордеров[50] и т. п. Кстати, даже такой НСД к информационно-процессинговым ресурсам кредитной организации, который не приводит к чьим-либо финансовым потерям, вполне может обернуться утечкой конфиденциальной информации, а прямым следствием этого станут опять-таки хищения денежных средств, возникновение возможностей для шантажа клиентов или более серьезные последствия для них, поскольку в условиях криминализованной экономики сведения о банковских операциях «и других сделках» могут оказаться более значимыми, чем суммы денег, фигурировавшие в скомпрометированных транзакциях.

Что касается нарушений непрерывности функционирования (доступности) автоматизированных систем кредитной организации и (или) переходов в «нештатные» режимы функционирования, а также сбоев в каналах (линиях) связи, то следствием их могут являться и прерывания сеансов ДБО с потерей или искажением клиентской информации, и невозможность выполнения финансовых и других обязательств кредитной организацией перед клиентами, и в наихудшем случае несанкционированные списания средств с их счетов и другие негативные явления. То же самое с учетом вирусных, сетевых и хакерских атак[51] можно отнести к распределенным компьютерным системам провайдеров кредитной организации и т. п.

Последние годы характеризуются множеством случаев разнообразных атак на системы электронного банкинга и банковские автоматизированные системы кредитных организаций. Упоминавшаяся выше атака типа «отказ в обслуживании» изначально организовалась с помощью программ, осуществлявших генерацию очень большого количества запросов, передаваемых через вычислительные сети на сервер — объект атаки, обычно в короткие интервалы времени. Тем самым превышалась производительность сервера и он прекращал функционирование, «не в силах» справиться с таким количеством запросов[52]. В современных условиях применяется «распределенный» вариант этой атаки, осуществляемой через промежуточные сетевые компьютерные системы с целью многократного усиления негативного эффекта (повышения «мощности атаки»). Для этого могут использоваться ложные сетевые обращения (рing[53]), программы-черви (wоrm), распространяющиеся по вычислительным сетям и инсталлирующиеся на каждом доступном АРМ, чтобы в заданный момент времени начать генерацию ложных запросов, и пр. Это происходит в фоновых режимах, почему задействованные компьютеры иногда называются «зомби», а сеть, которая из них состоит, — «ботнет»[54]. На рисунке 2.2 показана общая схема сетевых атак рассматриваемого типа (представляющая собой модифицированный рисунок из книги Сrumе /. Insidе Intеrnеt Sесuritу).

Применение технологий электронного банкинга: риск-ориентированный подход

Возвращаясь к проблемам применения кредитными организациями информационных технологий (ИТ), надо отметить, что нередко незначительным или даже не существующим источником компонентов операционного риска их специалисты считают процедуры оперативного внесения небольших по масштабам изменений в программно-информационное обеспечение ДБО и БАС (упоминавшихся выше «заплаток»). Такая необходимость возникает обычно в тех случаях, когда:

— клиенты кредитной организации совершают действия, непредусмотренные алгоритмами, реализованными в автоматизированной систем, что приводит к непредсказуемым результатам («зависанию» и пр.);

— функционирование принятой в эксплуатацию автоматизированной системы не совпадает с ее техническим проектом, так что требуется оперативная доработка отдельных функциональных модулей;

— выявляются ошибки в проекте автоматизированной системы и требуется ее временный вывод из эксплуатации (отключение сервисов) для перепрограммирования, перенастройки отдельных модулей и т. п.;

— автоматизированная система оказывается скомпрометирована сетевыми или вирусными атаками, действиями хакеров или инсайдеров кредитной организации, из-за чего требуется ее усовершенствование.

Все перечисленные причины, за исключением последней, служат, как правило, признаками недостаточно полного тестирования БАС и СЭБ. Однако, поскольку сложившуюся ситуацию всегда необходимо оперативно исправлять, специалисты кредитной организации вынуждены принимать экстренные меры по устранению недостатков, внедряя в автоматизированную систему программные или библиотечные модули, нередко написанные наспех, не прошедшие типовых процедур проверки и приемо-сдаточных испытаний и содержащие ошибки, потому что отсутствие оперативности играет в таких случаях негативную роль. Для кредитной организации следствием такого «подхода», не соответствующего принятой инженерной практике разработок, всегда становятся новые источники компонентов этого риска.

Любое упомянутое выше мошенничество, несанкционированное вмешательство, функциональный сбой или отказ (т. е. нарушение штатного режима работы) компьютерных систем (неважно по какой причине) повлекшие за собой невозможность получения клиентом установленного договором на ДБО сервиса или выполнения им своих финансовых обязательств перед третьими сторонами, связано с возникновением компонентов как минимум правового и репутационного рисков, а в некоторых случаях риска неплатежеспособности и стратегического риска (имеется в виду негативная общественная реакция). Реализация компонентов операционного риска изначально становится возможна преимущественно (хотя и не только) по причине несоблюдения установленных когда-то государственными стандартами (начиная с ГОСТ 34.602-89) порядков разработки автоматизированных систем — неважно, банковских или нет, а потребовать этого (и проследить за исполнением) в кредитной организации оказалось некому, и это становится для нее еще одним существенным фактором операционного риска. Кстати, такие стандарты утверждались как раз для того, чтобы автоматизированные системы работали так, как требуется, а не так, как получится.

2.5. Изменение профиля правового риска.

Повышение уровня правового риска приводит к возможным финансовым потерям, являясь следствием возможных нарушений кредитной организацией положений нормативно-правовых документов, которые регламентируют банковскую деятельность, и (или) законодательной неопределенности отдельных аспектов предоставления банковских услуг. Реализация компонентов этого риска имеет форму санкций, которые могут быть наложены на кредитную организацию за нарушение ею правил выполнения банковских операций, несоответствие требованиям ведения бухгалтерского учета и, как следствие, недостоверность банковской отчетности, за потерю значимых банковских данных, утечку конфиденциальной банковской и (или) клиентской информации, включая нарушение банковской тайны, возможную скрытую противоправную деятельность, в которую оказывается вовлечена кредитная организация из-за слабого контроля использования ее СЭБ, а также за недостатки, обусловленные несовершенством организационно-технического, аппаратно-программного или же программно-информационного обеспечения банковской деятельности, как самой кредитной организации, так и ее провайдеров, что может вызывать претензии со стороны клиентов ДБО.

Первой же задачей, подлежащей решению при внедрении кредитной организацией любой ТЭБ, становится серьезное усиление «общебанковских» функций управления и контроля с тем, чтобы особенности СЭБ, реализующей конкретную технологию, не вызвали сомнений у контролирующих органов в выполнении правил бухгалтерского учета и подготовке регламентной отчетности (в широком смысле). Кредитной организацией должна быть гарантирована фиксация в базах данных и правильная обработка всех ордеров клиентов, которые имеют отношение к этим процедурам, независимо от канала ДБО и информационных сечений между системами электронного банкинга и БАС кредитной организации. К отмеченному тесно примыкают проблемы обеспечения доказательной базы электронного банкинга и обеспечения юридической силы так называемых «электронных документов», которые в традиционной форме не существуют, а их распечатки также требуют удостоверения подлинности (эта проблематика еще будет подробно обсуждаться в других разделах, в том числе в плане организации последующей претензионной работы в части ДБО).

Далее целесообразно предусмотреть возможности нарушения непрерывности функционирования ИКБД (неожиданное прекращение сеанса ДБО) в плане вероятных правовых последствий реализации соответствующих компонентов операционного риска (еще одного варианта проявления взаимного влияния банковских рисков). Здесь возникает несколько основных вопросов, подлежащих рассмотрению специалистами кредитной организации:

— организация оперативного предоставления клиенту другого маршрута или варианта ДБО (в случае недоступности системы или прерывания сеанса, к примеру, интернет-банкинга это может быть другой wеb-сайт или вообще другая СЭБ);

— оперативная реализация соответствующего ситуации раздела плана действий на случай чрезвычайных (иногда говорят «непредвиденных») обстоятельств, для чего требуется наличие схем резервирования и резервных ресурсов, отработанное распределение обязанностей и т. п.;

— включение в текст договора с клиентом на ДБО положений, определяющих порядок действий сторон в форс-мажорных обстоятельствах, их обязанности, ответственность, порядок разрешения спорных ситуаций и компенсации потенциального ущерба интересам клиента и т. п.;

— организация оперативного восстановления массивов банковских и клиентских данных, целостность которых может оказаться нарушенной из-за прерывания сеанса ДБО, для чего требуется формирование и поддержание соответствующего архива и порядок его использования;

— включение в текст контрактов с провайдерами, от которых зависит непрерывность функционирования ИКБД, положений, устанавливающих порядок действий сторон в форс-мажорных обстоятельствах, их обязанности, ответственность, порядок разрешения спорных ситуаций и компенсации ущерба.

Точный перечень указанных вопросов, связанных с компонентами правового риска, как и для операционного риска, определяется специалистами кредитной организации с учетом специфики ее БАС, систем электронного банкинга, видов провайдеров, состава услуг, предоставляемых в рамках ДБО, возможных сетевых и вирусных атак, средств защиты от них и т. п.

Потенциальное влияние тех компонентов правового риска, которые сопутствуют компрометации банковских информационных ресурсов, обусловлено недостатками в обеспечении информационной безопасности кредитной организации. Они могут иметь место из-за новизны/ сложности ТЭБ или недостаточного освоения внедренной в ней СЭБ. На практике его причины кроются в неполноте предусмотренных моделей и сценариев развития угроз, предполагаемых для конкретного ИКБД, связанного с этой технологией. Одним из наиболее серьезных факторов риска при этом является квалификационный «разрыв» между специалистами подразделений ИТ и обеспечения информационной безопасности кредитной организации: первые отвечают за непрерывность и функциональность БАС и СЭБ и могут не располагать полным знанием сопутствующих последней из них угроз, последние же могут не полностью представлять технические механизмы реализации этих угроз. Результатом становятся «дыры» в периметре безопасности кредитной организации, который, кстати, в условиях электронного банкинга может приобретать весьма сложную форму — если эксплуатируется несколько разнородных систем ДБО и имеется несколько видов пользователей их и БАС.

Действие упомянутого разрыва проявляется не только в несоответствии квалификаций. Часто во избежание этого в условиях бюджетных и ресурсных ограничений практически все полномочия системного уровня вынужденно концентрируются в подразделении ИТ кредитной организации. Это относится к таким специализациям, как администрирование банковских автоматизированных систем и систем ДБО, локальных вычислительных сетей, баз данных и информационной безопасности. Тем самым создается опасность чрезмерной концентрации системных полномочий в руках очень небольшого контингента высококвалифицированных специалистов. Подобная ситуация осложняется тем, что контролировать возможные негативные проявления так называемого «человеческого фактора» при этом становится практически невозможно (в организации отсутствуют независимые специалисты с сопоставимой или более высокой квалификацией в области ИТ, чем у таких «супер-админов»), так что не может идти и речи о выполнении принципа «четырех глаз»[55]. В условиях осуществления банковской деятельности в виртуальном пространстве это может оказаться весьма серьезным фактором и операционного, и правового, и репутационного, а вслед за ними и стратегического рисков (а для клиентов такой организации, как следствие, — риска неплатежеспособности по их счетам в какой-то момент).

Проблемы организационно-технического плана, приводящие к реализации компонентов правового риска в условиях ДБО, также разнообразны и варьируются от невыполнения клиентом платежей из-за того, что, как говорят, «платежка не прошла», до невозможности оплаты покупок через РОS-терминал или получения денег через банкоматы из-за неполадок в обеспечивающей их функционирование ЗВС, к последнему варианту относятся также разнообразные «банкоматные» мошенничества с пластиковыми картами и несвоевременное денежное подкрепление. Причиной возникновения перечисленных угроз надежности банковской деятельности является недостаточный контроль со стороны специалистов кредитной организации работоспособности или безопасности обслуживаемых ею удаленных специализированных банковских терминалов. В свою очередь изначальным фактором риска может быть отсутствие адекватного потребностям ДБО внутреннего порядка в кредитной организации или контроля его выполнения.

К проблематике правового риска могут примыкать прямые или косвенные санкции со стороны тех учреждений, которые контролируют отдельные стороны банковской деятельности, не имеющие непосредственного отношения к выполнению банковских операций и не связанные с возникновением компонентов правового риска до внедрения технологий ДБО. Имеется в виду, что для защиты трафика между клиентом и кредитной организацией используются разнообразные средства криптозащиты. Не касаясь вопросов их достоинств, недостатков и надежности, следует отметить, что их использование (включая распространение среди клиентов ДБО) требует получения специальных разрешений у компетентных органов и сертификации. В последние годы активность проверок по указанным вопросам выросла и они оказались связаны для кредитных организаций с новыми компонентами правового риска. То же самое относится к проведению проверок соблюдения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2.6. Изменение профиля репутационного риска.

Следствиями повышения репутационного риска являются возможные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения (нарушения) ею обязательств перед клиентами, что приводит к их потере, оттоку заемных средств и упущенной выгоде, судебным искам, появлению общедоступных сведений о нарушениях банковской тайны (конфиденциальности информации) и т. п. Причинами этого становятся недоступность, неработоспособность, неполная функциональность, ненадежность, небезопасность автоматизированных систем кредитной организации, включая хакерские воздействия на используемые ею wеb-сайты. Из-за реализации перечисленных угроз и связанных с ними компонентов банковских рисков происходят потеря (искажение) банковских и (или) клиентских данных (в том числе из-за отказов аппаратно-программного обеспечения как самой кредитной организации, так и ее провайдеров), компьютерные преступления, сетевые атаки.

Сказанное во многом относится к проявлениям операционного, правового и стратегического рисков, о чем уже говорилось выше и что характеризуется как взаимное влияние рисков, однако с репутационным риском связан еще один существенный аспект, обусловленный сложностью практического освоения технологий и систем электронного банкинга. Когда-то среди американских работников рекламы бытовала поговорка «А теперь давайте встанем на четвереньки и посмотрим на проблему с позиции клиента». Если привыкший к традиционному обслуживанию в операционном зале «средний» клиент ДБО не разберется с функционированием интерфейса предоставляемой ему СЭБ кредитной организации, не сможет управлять сеансом информационного взаимодействия (например в рамках интернет-банкинга), не получит требуемой ему информации или, что хуже всего, из-за своих ошибок потеряет какие-то денежные средства (в том числе и из-за нарушений информационной безопасности), то он, как правило, выскажет свои претензии в адрес кредитной организации, а то и доведет их до судебного разбирательства. При этом клиенту вряд ли придет в голову мысль, что он в чем-то не прав, невзирая на текст договора на ДБО.

Поэтому, если при заключении договора на ДБО сотрудники кредитной организации не потрудятся убедиться в понимании клиентом содержания этого документа (а другого ГК РФ, вообще говоря, не предусматривает), в том, что он понимает, допустим, как работает аналог собственноручной подписи (о котором сказано в ст. 160 ГК РФ, но требования к нему не определены, т. е. неясно, какое средство идентификации может считаться таковым, а какое нет), в освоении им интерфейса выбранной СЭБ, в понимании требований информационной безопасности и т. п., то впоследствии им придется выполнять существенно больший объем претензионной работы, чем в противоположном случае. Таким образом, речь идет о том, что об обеспечении необходимой и достаточной квалификации клиента можно не заботиться (что и встречается на практике), но тем самым кредитная организация только осложнит жизнь самой себе.

К повышению уровня репутационного риска ведут любые неудобства, которые испытывают клиенты ДБО при работе с СЭБ, начиная с запутанного интерфейса систем интернет-банкинга или малофункционального меню системы мобильного банка и заканчивая несанкционированным снятием денег с их счетов через банкоматы посредством так называемого «белого пластика» и других мошеннических приемов. Разнообразие вариантов хищений привело к тому, в частности, что Банк России начал выпуск своего рода письма-предупреждения для кредитных организаций и их клиентов (например, Письмо от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании»[56]). Негативная реакция клиентов на любой из таких вариантов может начинаться словами: «Почему вы меня не предупредили о том, что…» Можно привести и другие примеры, когда специалисты кредитной организации вынуждены объяснять клиенту, что его претензии относительно пропажи денег с его счета неосновательны, потому что он:

— не обеспечил должного ограничения доступа к своему АРМ, которое использовалось для ДБО, и с этого компьютера мог отправлять ордера кто угодно (а его идентификаторы могли быть написаны снизу на клавиатуре);

— хранил идентификационную информацию на жестком диске своего АРМ, с которого имеется доступ в Интернет, поэтому хакер смог осуществить взлом и скопировать ее, после чего похитил деньги со счета;

— сознательно перевел 500 000 руб. со счета, а не 5000 и не тому контрагенту, как утверждается в претензии, а то, что «залипла» клавиша или реквизиты платежа были подменены, — это не основания для возврата денег;

— передал свою пластиковую карту неустановленному лицу, которое вылетело в Лондон (Париж, Абу-Даби и т. п.) и там осуществило снятие денег через банкоматы и оплату покупок в дорогих бутиках, а сам ждал дома;

— скомпрометировал данные персональной идентификации, совершая покупки в интернет-магазинах, играя в интернет-казино или храня деньги в электронных кошельках;

— вообще сам во всем виноват и надо внимательно читать договор, в котором «русским по белому» написано, что РIN-код считается аналогом собственноручной подписи.

И тому подобное. При этом ни служба безопасности кредитной организации, ни специалисты по ИТ, ни сотрудники сервис-центра АРМ клиента никогда не видели, не знают, что он, допустим, доктор философии, а не компьютерщик, и оснований для возмещения исчезнувших средств, к сожалению, не имеется. Множество историй такого рода произошло с пользователями систем ДБО (www.bаnкi.ru).

2.7. Изменение профиля риска ликвидности (неплатежеспособности).

Как уже кратко отмечалось ранее, риск ликвидности в условиях применения технологий электронного банкинга трансформируется в риск неплатежеспособности, приводящий к возможным финансовым потерям, обусловленным неспособностью кредитной организации своевременно и полностью выполнить свои финансовые обязательства перед клиентами из-за изменения характеристик управления ликвидностью в условиях открытого сетевого взаимодействия, проявления которого не всегда предсказуемы. Как правило, сам этот риск реализуется опосредованно через репутационный, правовой и стратегический риски, поскольку для него характерны такие явления, как непредвиденный отток средств, финансовые хищения в крупных размерах (включая несанкционированные переводы денежных средств), другие потери высоколиквидных активов, сбои и отказы в работе БАС, СЭБ и другого аппаратно-программного обеспечения, которое используется для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров, «стоящих на пути» в ИКБД, а также недостатки организационно-технического характера, следствием которых становится невыполнение кредитной организацией своих обязательств перед клиентами.

Простейшим примером является невозможность получения наличных денег в банкомате по причинам, обсуждавшимся выше, т. е. кредитная организация сама по себе остается абсолютно «ликвидна» и денег на так называемой «зарплатной карте» достаточно, однако получить их невозможно, потому что на дисплее устройства высвечивается надпись: «С вашим банком нет связи» или еще проще: «Выполнение операции невозможно. Извините» либо «Банкомат не работает», — конечно, без каких-либо объяснений, но кредитная организация оказывается в глазах клиента фактически неплатежеспособна, а на ее деловую репутацию влияют обстоятельства, в которых находится клиент ДБО (сказанное относится и к РОS-терминалам).

В условиях ДБО клиент может взаимодействовать с кредитной организацией лишь опосредованно, через ИКБД, который ему «не виден», поэтому установить, по какой именно причине «не проходят» финансовые операции, клиент не в состоянии (тем более что оперативно связаться с кредитной организацией не всегда возможно). Вследствие этого возникают дополнительные компоненты упомянутых рисков, непосредственно ассоциируемых с риском неплатежеспособности, без учета которых при организации ДБО (в связи с потенциальными проблемами: аварийными ситуациями, сбоями в работе программного обеспечения различных компьютерных систем, сетевыми атаками, перекрывающими каналы связи или «подавляющими» процессинговые мощности, и другими) претензии клиентов ДБО неизбежны. В то же время предвидеть их возникновение и возможные последствия (варианты ущерба), причем в связи с конкретными факторами возникновения этих компонентов, сложно в отсутствие заранее разработанных сценариев, так что такие компоненты этого риска реализуются.

2.8. Возможности учета компонентов типичных банковских рисков.

Вопрос проведения расчетов уровней банковских рисков в условиях отсутствия законченной теории их определения и анализа также остается до настоящего времени дискуссионным[57], тем более проблематично доведение его решения до точного учета влияния технологий электронного банкинга. В классических определениях собственно понятия банковского риска, которые можно найти в публикациях зарубежных органов банковского регулирования и надзора, также наблюдается некоторое несоответствие. Если обобщить такие определения, то можно сформулировать два его «интегральных» варианта. Один из вариантов использует своего рода абсолютное исчисление, и в такой трактовке базовое определение выглядит следующим образом: «Банковский риск — это возможный финансовый ущерб для капитала или доходов кредитной организации, который может иметь место вследствие ее банковской деятельности».

В рекомендациях зарубежных органов банковского регулирования и надзора[58] для отдельных видов банковских рисков определения такого рода обычно уточняются за счет указания состава негативных внутренних факторов, действующих в кредитных организациях, которые вообще приводят к возникновению источников банковских рисков.

С другой стороны, принципиально важным является то, что одни и те же негативные последствия могут по-разному влиять на финансовое состояние кредитных организаций ввиду различий в их размерах, масштабах и специфике банковской деятельности, структуре финансовых ресурсов и технологическом обеспечении выполнения банковских операций. Проще говоря, один и тот же по абсолютной величине убыток один банк не заметит, другой сможет парировать, а третий банк «не переживет». Следовательно, подчеркивают специалисты упомянутых учреждений, необходимо оценивать уровни банковских рисков в терминах их значимости для конкретных коммерческих банков (кстати сказать, только тогда уместно использование определений качественного характера, относящихся к оценкам уровней банковских рисков). При таком подходе обобщенная формулировка понятия банковского риска может быть представлена в другом интегральном виде, предполагающем использование уже относительной шкалы: «Банковский риск — это оценка значимости возможного ущерба финансовым ресурсам и доходам коммерческого банка, обусловленного применяемыми им способами ведения банковского дела».

Интересно отметить, что в рассматриваемых зарубежных материалах для определения собственно риска в подавляющем большинстве случаев используется первая формулировка, однако, когда речь идет об интерпретации выявляемых факторов риска в приложении к оценке ситуации в кредитной организации, семантика выводов полностью относится ко второму варианту.

Суть подхода от описанных выше различий в классификации рисков не изменяется и заключается в попытках качественного оценивания, точнее сказать, описания степени или «серьезности» возможного финансового ущерба, который может быть нанесен коммерческому банку. При этом вводятся от трех до пяти градаций степени или уровня оцениваемого риска. Ниже приведена таблица определений уровней агрегированного риска, устанавливаемых в указанных источниках по двум «осям координат» — оценок уровней типичных банковских рисков и качества управления этими рисками (табл. 2.1).

Таблица 2.1.

Применение технологий электронного банкинга: риск-ориентированный подход

В оригинале использованы понятия: Lоwеst, Lоw, Моdеrаtе, Нigh, Нighеst.

Для выбора подходящей оценки используются совокупности экспертных заключений по «параметрам» деятельности руководства кредитной организации по разным бизнес-направлениям, от которых зависят и состав подмножества источников, и влияние компонентов типичных банковских рисков[59].

Учет всех источников компонентов типичных банковских рисков при использовании кредитной организацией множественных систем электронного банкинга может оказаться невозможным в силу их разнообразия и сложности структур задействуемых ею ИКБД, ЛВС или ЗВС, что подразумевает чрезмерные затраты ресурсов этой организации. Вследствие этого ее руководство вполне может согласиться с существованием незначительных по уровню компонентов банковских рисков, потенциальный ущерб от реализации которых будет оцениваться в меньшую сумму, чем затраты на их мониторинг и парирование. В этом случае может оцениваться так называемый «чистый риск», определяемый как разница между неизбежным риском, присущим самой банковской деятельности, и корректирующим эффектом, достигаемым в рамках внутрибанковского мониторинга уровней типичных банковских рисков и УБР (в том числе сотрудниками служб внутреннего контроля и аудита).

Однако здесь следует проявлять известную осторожность: такой подход может быть оправдан только проведением тщательного анализа потенциальных последствий существования «остаточных рисков» в ИКБД. Следует, кстати, отметить возможность резкого роста цены любых, даже незначительных на первый взгляд, нарушений целостности банковских данных, которые могут лавинообразно тиражироваться в базах банковских данных и клиринговых системах. Важно отметить, что процедуры УБР осуществляются именно в отношении источников риска, а не самих рисков, поскольку в такой абстрактной формулировке исчезает физический смысл процесса, из-за чего и возникают разногласия между авторами публикаций по этой тематике.

Глава 3. Жизненные циклы банковских автоматизированных систем и внутрибанковских процессов.

Все, что делалось до сих пор, было недоразумением.

С. Лем. «Звездные Дневники Ийона Тихого».

Технологический и технический прогресс в сфере банковской деятельности, выражающийся во внедрении разнообразных технологий электронного банкинга, обусловливает тенденцию к их интенсивному развитию вследствие того, что:

Удобство и оперативность получения банковских услуг, обеспечиваемые системами электронного банкинга, предполагают очень быстрое расширение клиентской базы ДБО и лавинный рост количества клиентских ордеров (на выполнение операций, получение информации и т. д.);

Универсальные кредитные организации стараются охватить ДБО максимально возможное количество предлагаемых ими банковских услуг (с учетом ограничений, налагаемых законодательством и подзаконными актами, регламентирующими банковскую деятельность[60]);

Условия конкуренции ориентируют кредитные организации на продолжение развития ДБО, внедрение новых его вариантов (многоканальных), предложение дополнительных видов банковских услуг и внедрение систем электронного банкинга, поддерживающих их предоставление.

Кроме этого, общий курс Правительства России на расширение обеспечения банковскими услугами населения страны, включая отдаленные регионы, будет одновременно способствовать внедрению и развитию все новых вариантов ДБО. Это в свою очередь потребует от высокотехнологичных кредитных организаций углубленного анализа потребностей своих реальных и потенциальных клиентов, меняющихся условий конкуренции, достоинств и недостатков банковских информационных технологий, а также сопутствующих им факторов и источников компонентов банковских рисков, которые подлежат учету во внутрибанковских процессах, начиная с процесса УБР.

Также следует отметить, что в Стратегии развития банковского сектора Российской Федерации на период до 2008 г. в качестве одной из основных задач было указано «развитие содержательных (риск-ориентированных) подходов, включающих оценку деятельности кредитных организаций и применение мер надзорного реагирования исходя прежде всего из содержания и реальной оценки рисков банковской деятельности с позиций их потенциального влияния на устойчивость кредитных организаций…» Решение этой задачи предполагало в том числе «совершенствование банковского надзора за деятельностью кредитных организаций… включая анализ рисков, возникающих у кредитных организаций в рамках взаимоотношений с юридическими и физическими лицами». В свою очередь в последние годы упомянутые взаимоотношения базируются и реализуются преимущественно на технологиях электронного банкинга, вследствие чего применение таких технологий стало требовать адекватного риск-ориентированного анализа[61].

Современные тенденции в развитии ДБО неизбежно окажут влияние на функционирование подавляющего большинства российских кредитных организаций, причем этот процесс на самом деле уже набирает силу, о чем свидетельствует статистика, получаемая по регламентной банковской отчетности[62]. Вследствие этого можно предположить, что технологии электронного банкинга начнут уже в ближайшем будущем превалировать на отечественном рынке финансовых услуг (подтверждением чему в свою очередь также стало широкое распространение разнообразных платежных систем и систем так называемых «электронных денег»), а значит, руководителям кредитных организаций скорее всего придется перестраивать свои бизнес-процессы с учетом этих перспектив. Впрочем, как будет показано ниже, это все равно практически необходимо для поддержания надежности и устойчивости[63] кредитных организаций, осваивающих ДБО, потому что его спецификой стали виды и способы информационного взаимодействия кредитных организаций с их клиентами в процессе банковского обслуживания наряду с новыми условиями, в которых это взаимодействие реализуется (имеется в виду ИКБД).

Сказанное выше относится к внесению изменений в любые банковские информационные технологии (в связи как с внедрением новых, так и с модификацией действующих). И дело здесь не только в электронном банкинге как таковом, но и, что не менее важно, в тех информационных системах, которые используются органами управления кредитной организации для принятия стратегических и тактических решений относительно предложения новых сервисов и расширения клиентской базы. Что касается именно ДБО, то применение соответствующих технологий предполагает прежде всего учет тех особенностей, которые сопутствуют или же могут сопутствовать их внедрению и применению в плане контроля над уровнями типичных банковских рисков. Для этого требуется понимание сути происходящего во вновь формируемом киберпространстве ИКБД вместе с организацией управления не всегда очевидными виртуальными процессами (а это изменение бизнес-модели как таковой) и обеспечением полноты, своевременности и адекватности контроля над использованием новых банковских информационных технологий и реализующих их автоматизированных систем.

Пересматривать внутрибанковские процессы при использовании технологий электронного банкинга целесообразно для того, чтобы управление и контроль, становящиеся в известной мере специфическими, во-первых, были явно ориентированы на технологии такого рода, во-вторых, оставались адекватны пруденциальным принципам банковской деятельности и, в-третьих, чтобы собственно банковская деятельность оставалась управляемой и подконтрольной. Принципиально важным является то, что, какими бы ни были технологические нововведения в банковской деятельности, они не должны оказывать негативного влияния на выполнение кредитными организациями банковских операций, равно как на надежность, устойчивость и безопасность этих организаций (в двояком смысле: как их самих, так и в отношении интересов их клиентов). То же самое относится и к защите интересов клиентов кредитных организаций, и к выполнению последними взятых на себя конкретных обязательств (доступность дистанционных сервисов, «обещанная» клиентам полнофункциональность, своевременность предоставления услуг, выполнение финансовых обязательств). Наконец, внедрение в банковскую практику тех или иных систем ДБО не должно приводить к нарушениям полноты и целостности, с одной стороны, функций внутреннего контроля в кредитных организациях и аудита (как внутреннего, так и внешнего), с другой стороны, банковского (или в широком смысле — финансового) контроля над банковской деятельностью в киберпространстве.

Уместно отметить также существенные особенности в информационном обеспечении (или поддержке принятия) решений относительно внедрения и применения технологий ДБО. Зачастую представители высшего руководства кредитных организаций имеют достаточно отдаленное представление о том, как конкретно, технически реализуется «электронный банкинг» в каждом из уже достаточно многочисленных своих вариантов и как реализующие его процессы могут сказаться на результатах и эффективности банковской деятельности в целом. В итоге органы управления кредитной организации вынуждены работать в условиях отсутствия необходимой информации как о собственно той или иной технологии ДБО (а такая информация, как правило, вообще сложна для восприятия при отсутствии соответствующей ей специальной квалификации), так и о том, какие условия применения определенной технологии могут считаться пруденциальными. Очевидно, что дефицит информационного обеспечения управления кредитной организацией по этим двум главным вопросам может оказаться критическим для принятия эффективных решений, что особенно негативно может сказаться через далеко не всегда очевидные недостатки в организации и содержании УБР.

Результатом отмеченной неадекватности стало то, что внедрение технологий ДБО приводит к неконтролируемому, вообще говоря, смещению профилей ряда типичных банковских рисков, рассмотренных в предыдущей главе, и реализации их компонентов, связанной с нанесением ущерба кредитной организации и ее клиентам. При этом причины смещения профилей рисков, являясь преимущественно технологическими и организационно-техническими, оказываются далеко не всегда очевидными для специалистов в области банковского дела, а содержание смещений далеко не всегда понятно тем специалистам, которые отвечают за внедрение и развитие ИТ в кредитной организации (собственно за технологическое и техническое обеспечение банковской деятельности). Это первый из принципиально значимых квалификационных разрывов, которые негативно сказываются на технологической надежности кредитной организации при переходе ее к ДБО.

Здесь необходимо подчеркнуть, что в настоящее время без учета конкретных проявлений смещения профиля риска в условиях ДБО эффективное управление банковской деятельностью и контроль над ее осуществлением и результатами вряд ли возможны. Такой учет целесообразен в рамках процессного подхода в корпоративном плане, поскольку многие кредитные организации, как правило, поэтапно внедряют и одновременно (параллельно) используют по несколько достаточно разнородных, хотя и технологически схожих схем ДБО (интернет-банкинга, интернет-трейдинга, мобильного банкинга и т. п.), что предполагает также комплексный анализ влияния потенциально сопутствующих каждой из них негативных факторов (источников компонентов банковских рисков) на банковскую деятельность.

3.1. Процессный подход — базовые положения.

Акцент на внутрибанковских процессах и на условиях, в которых они реализуются, не случаен: изучение использования кредитными организациями систем электронного банкинга свидетельствует, что результаты и эффективность применения новых, зачастую достаточно сложных технологий ДБО, которые базируются на распределенных компьютерных системах, сети Интернет, мобильных компьютеризованных устройствах, телекоммуникационных сетях и т. п., непосредственно зависят от условий, в которых технологии такого рода применяются. То же самое относится к парированию влияния источников банковских рисков, непосредственно связанных с такими способами обслуживания клиентов. Важно отметить также то, что при этом далеко не все руководители кредитных организаций осознают возможное влияние технологий ДБО на выполнение утверждаемых ими стратегических планов и поддерживаемые в этих организациях бизнес-модели, ибо новые технологии электронного банкинга способны существенно изменить условия их реализации, повышая уровни типичных банковских рисков. Поэтому при внедрении конкретного варианта ДБО целесообразно изначально определить его специфику именно из этих соображений, причем не просто как очередной новой технологии, реализуемой через компьютерные и телекоммуникационные системы нового поколения, но и переводящей банковскую деятельность в «виртуальное пространство» практически без каких бы то ни было ограничений. На этом целесообразно сделать акцент и при пересмотре подходов к модернизации процесса УБР, его описания и содержания, а также к распределению обязанностей и ответственности за его реализацию между исполнительными органами и рядом структурных подразделений кредитной организации, перечисляемых в параграфе 3.2.

Само отсутствие подобного учета может обусловить реализацию банковских рисков — вероятностных по сути событий — и обращение их в реальные финансовые потери, причем именно из-за неосознаваемого повышения этой вероятности (если в кредитной организации относятся к своим компьютерным технологиям без должного внимания). Поэтому руководству кредитной организации логично было бы при принятии решения о переходе к ДБО задумываться не только о ТЭО любого из возможных его вариантов (что само по себе в отечественном банковском секторе встречается нечасто), но и о ресурсной базе процесса УБР с точки зрения оценки ее достаточности. Не исключено, что ее негативная оценка окажется весомым аргументом в пользу либо отказа от такого решения, либо реализации его только после накопления достаточных ресурсов в части административных и организационно-технических решений, персонала подразделений кредитной организации, его совокупной квалификации и т. п. Впрочем, последние годы функционирования российского банковского сектора отмечены тенденцией как к повышению качества корпоративного управления в кредитных организациях, так и к поиску путей его дальнейшего совершенствования, что (как показывает и зарубежная практика) при использовании процессного подхода существенно облегчается.

В последнее время считается, что практически всю «организованную» деятельность людей, включая банковскую, можно представить в виде совокупности бизнес-процессов. По определению, бизнес-процесс[64] — это устойчивая, целенаправленная совокупность взаимосвязанных видов деятельности (последовательность работ), которая по определенной технологии преобразует некие входные ресурсы в выходные, представляющие ценность для потребителя. Тогда управление практически любой организацией, имеющей конкретные цели своей деятельности, стратегические планы их достижения и определенные функции, выполняемые для реализации таких планов, может быть представлено как управление бизнес-процессами (точнее, их совокупностями, поскольку без взаимосвязей между основными процессами в любой сколько-нибудь сложной работе не обойтись). Для этого необходимо в первую очередь составить функциональное описание деятельности той или иной кредитной организации в целом, затем определить функциональные процессы, составляющие эту деятельность, и, далее, следуя иерархическому принципу, определить базовые процедуры, составляющие процессы, и подмножества операций, из которых складываются эти процедуры. В ряде относительно простых случаев процессное описание можно даже не доводить до операций, хотя к банковской деятельности это, конечно, не относится.

В рамках процессного подхода требования предъявляются не столько к качеству банковских продуктов напрямую, сколько к системе организации управления банковским бизнесом (по аналогии с международными стандартами серии ISО 9000). Такой подход можно считать следствием, с одной стороны, назревшей необходимости совершенствования корпоративного управления (особенно в многофилиальных структурах), а с другой стороны, отражением современных мировых тенденций в банковской сфере. В наиболее общем случае считается, что успех любой организации (учреждения, фирмы) в значительной степени прямо связан с ее структурой и конкретными компонентами организационной структуры — это классика. Естественно, вся деятельность начинается с установленных стратегических целей и некоей стратегии их достижения, реализуемой совокупностью деловых процессов. Вот это то, что традиционно уходило на второй план, хотя, впрочем, было оправдано своего рода «примитивностью» бизнеса и условий его осуществления. Теперь полагают также, что в оптимальном варианте осуществления сколько-нибудь сложной деловой активности структура организации должна определяться этими самыми процессами, которые можно описать с помощью так называемых «сбалансированных технологических карт». Эти карты создаются работой системы управления организации, которая сама формируется в соответствии с множеством правил реализации стратегии организации. А они в свою очередь находят свое непосредственное отражение как раз в тех самых бизнес-процессах. Оптимизация состава, содержания и «точек соприкосновения» (взаимного влияния) процессов составляет основу для роста эффективности деятельности того или иного учреждения в целом.

В рамках процессного подхода речь идет в основном о требуемом качестве продукта (услуги), которое трактуется как совокупность свойств, обусловливающих способность удовлетворять определенные потребности клиента в соответствии с его (ее) назначением, и определяется, вообще говоря, клиентом (потребителем результата процесса). В приложении к настоящему рассмотрению эти потребности выражаются теми пятью характеристиками надежности банковской деятельности, о которых было сказано в предыдущей главе. При управлении кредитной организацией, основанном на процессном подходе, наиболее эффективным образом реализуются концепции управления по целям (результатам) и клиент-ориентированного бизнеса, что позволяет рассматривать его как эффективное средство решения стратегических задач, стоящих перед конкретным банком и банковской системой в целом, особенно если оно осуществляется в том числе с позиций минимизации рисков, которым подвергаются клиенты организации.

Главное преимущество процессного подхода по сравнению с традиционным (функциональным) подходом заключается в непрерывности управления, которое обеспечивается им на стыке отдельных процессов в рамках системы, а также при их комбинации и взаимодействии. Последнее актуально как раз в отношении применения технологий электронного банкинга, которые могут использоваться как по централизованной схеме, так и по распределенной. Следует отметить, что последнее положение особенно важно для многофилиальных кредитных организаций, деятельность которых вместе с внедрением новых банковских информационных технологий может оказаться связана с возникновением дополнительных и не всегда просто контролируемых источников компонентов банковских рисков.

Сказанное заставляет задуматься о существе процессов, посредством которых реализуется значительная (и все более возрастающая) часть банковской деятельности. Лозунгом процессного подхода стала фраза: «Хочешь управлять бизнесом — управляй процессами!», и здесь уместно добавить: а для этого «знай все необходимые бизнесу процессы и их содержание», т. е. банковские технологии и реализующие их автоматизированные системы. Фактически полнота, адекватность и качество бизнес-процессов в кредитной организации начинают определяться соответствием их новому, упоминавшемуся выше принципу: «знай свои технологии», поскольку большинство внутрибанковских процессов реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами.

По-видимому, внесение изменений в используемые кредитной организацией технологии банковского обслуживания или предоставления банковских услуг требует радикальных инноваций сначала в «осознании» сути происходящего, а затем в содержании и организации внутрибанковских процессов. Безусловно, определяющим фактором при этом должно являться сохранение управляемости и контролируемости банковской деятельности, невзирая на ее переход в виртуальное пространство. Вопрос лишь в том, какие именно управленческие процессы необходимо разработать, внедрить, сопровождать и контролировать в таких условиях. При этом оказывается необходима разработка совершенно новых процессов, которых ранее, т. е. до изменения условий банковской деятельности, просто не существовало. Одним из примеров может служить потребность в организации такого внутрибанковского процесса при внедрении технологии интернет-банкинга: чтобы создавать и сопровождать wеb-сайты, используемые кредитной организацией в качестве информационных, коммуникационных или операционных представительств в Сети, а также контролировать их функционирование, уже требуется организация «взаимодействия» между целой совокупностью внутрибанковских процессов. Причем их состав и содержание взаимодействия различны при размещении wеb-сайта в самой организации, на аппаратно-программном комплексе его разработчика, у интернет-провайдера и т. п.

Соответственно полнота и точность описаний внутрибанковских процессов (официально документированных, чем, к сожалению, нередко пренебрегают) в связи с бизнес — процессами являются теми принципиально важными факторами, которые прямо влияют на результаты деятельности кредитной организации. При этом речь должна идти не только об ее основных, «находящихся на слуху», бизнес-процессах, но и о вспомогательных, обеспечивающих необходимые условия для эффективной банковской деятельности. Излишне говорить о том, что в условиях всеобщей компьютеризации банковской деятельности велика опасность образования разрывов в общих процессах управления и контроля в одной и той же кредитной организации, использующей разнообразные варианты ДБО (тем более вместе с филиалами), каждому из которых сопутствуют те или иные специфические подмножества источников компонентов банковских рисков, связанные с новыми их факторами.

Процессный подход может использоваться руководством (исполнительными органами) кредитной организации для осуществления как стратегического, так и оперативного управления. Одним из его достоинств является возможность интеграции в единой административно-организационной схеме интересов клиентов кредитной организации, ее самой, а также связей между ними и теми внутрибанковскими процессами, наличие которых представляется целесообразным в современных условиях банковской деятельности. За счет применения процессного подхода могут заметно увеличиваться экономические выгоды от применения технологий ДБО, что одновременно способствует оптимизации содержания и организации внутрибанковских бизнес-процессов в интересах снижения рисков, сопутствующих современной высокотехнологичной банковской деятельности. Такой подход к управлению кредитной организацией заключается прежде всего в систематической (определяемой этапностью внедрения новых информационных технологий) идентификации взаимосвязанных процессов и в согласованном управлении ими. Поэтому и требуется наряду с принятием решений о внедрении новых продуктов или услуг (видов обслуживания) определять, какие именно компоненты «общебанковских» процессов управления и контроля необходимо модернизировать либо разработать и внедрить, а также сопровождать и контролировать их реализацию уже в новых условиях банковской деятельности.

Здесь уместно отметить также существенные особенности в информационном обеспечении или поддержке принятия решений (ППР) относительно внедрения и применения технологий ДБО, т. е. дистанционного финансового посредничества. Представители высшего руководства кредитных организаций могут иметь достаточно отдаленное представление о том, как конкретно технически реализуется технология электронного банкинга в каждом из его вариантов, что представляет из себя ИКБД (тем более если он ни в каких внутрибанковских документах не описан, а решение о внедрении ТЭБ было принято по просмотру небольшой компьютерной презентации самого общего плана) и как реализующие его процедуры могут сказаться на эффективности и результатах банковской деятельности в целом, так как речь идет о весьма специфической области знаний. Дефицит информационного обеспечения управления кредитной организацией по этим двум вопросам может оказаться критическим с точки зрения ППР и принятия именно эффективных решений. Возможный вариант трактовки адаптации содержания внутрибанковских процессов к внедрению новой технологии ДБО приведен на рис 3.1.

Применение технологий электронного банкинга: риск-ориентированный подход

Считается, что процессный подход не может быть эффективно использован, если вместе с описанием процессов не разработана некая шкала оценок, позволяющая определить, насколько адекватны внутрибанковские процессы деловым потребностям кредитной организации. Имеется в виду, что при внедрении процессного подхода необходима уверенность в результатах, которую может обеспечить только полноценный (адекватный) контроль над самим внедрением. Он же в свою очередь подразумевает периодическое сопоставление текущих результатов с предполагаемыми конечными (установленными стратегией, принятой для конкретной кредитной организации). Поэтому, как и во многих других подходах к внедрению решений системного характера, руководству кредитной организации также целесообразно установить такие критерии, которые позволили бы ему обоснованно судить как минимум:

О возможности описания функционирования кредитной организации в целом с помощью выделения внутрибанковских процессов;

Степени «организованности» или, иначе, развития (совершенства) собственно внутрибанковских процессов;

Содержании процессов в виде совокупностей (последовательностей) упорядоченных процедур (функций).

Поскольку процессный подход изначально предполагался для повсеместного использования без привязки к какой-либо конкретной предметной области человеческой деятельности (особенно допускающей ее автоматизацию), абстрагирование от вида этой деятельности оказалось необходимым условием. В то же время в силу этого возникли, как следствие, во-первых, методологическая обобщенность и, во-вторых, потребность в интерпретации для каждого вида деятельности как такового (в нашем случае в приложении к внедрению технологий электронного банкинга).

Поэтому результатом методических разработок стала шкала уровней (градаций), которую можно было бы определить как совокупность оценок качества организации конкретной деятельности, снабженных некими комментариями, поясняющими условия, которым соответствуют эти оценки. Одновременно считается, что при практической реализации процессного подхода в той или иной области, в учреждении (или на предприятии) становится принципиально важной адекватная трактовка таких комментариев в приложении к определенным направлениям их деятельности. Что касается практической интерпретации таких критериев в приложении к технологиям электронного банкинга (в плане анализа сопутствующих факторов и источников риска), то в каждом конкретном случае требуется своя проработка на основе анализа состава и функционирования ИКБД, поскольку между технологиями такого рода существует ряд принципиальных различий, особенно в части процедур ввода, передачи, доведения и предварительной обработки клиентской информации, как и в других отношениях, например, в части аппаратно-программных комплексов провайдеров.

Основу рассматриваемой здесь системы оценок (использованной также в проекте «Стандарта качества банковской деятельности», разработанном совместно Банком России и Ассоциацией российских банков) составляют положения из стандарта СоbiТ[65]. В этом стандарте вводятся шесть так называемых «уровней развития процесса»[66]: нулевой, характеризующий отсутствие процессов менеджмента и пять, характеризующих «оценку уровня развития»: начальный, повторяемый, определенный, управляемый, оптимизированный. Можно, к слову, отметить, что предложенная классификация отличается от уже ставших привычными зарубежных рейтинговых систем, включающих пять оценочных уровней (типа таких систем оценивания, как состояние кредитной организации — САМЕLS, ее информатизации — URSIТ[67] и др.), что может помешать попыткам их совместного использования, однако здесь это не принципиально, поскольку ниже говорится только о собственно подходе к классификации степени совершенства процессов.

В рассматриваемом варианте описана исходная модель процессного подхода, включающая следующие характеристики степени развития (или совершенства) процессов (в данном случае внутрибанковских):

0 (Отсутствие) — Процессы управления не применяются и не описаны. Осознание проблем с управлением рассматриваемой деятельностью в организации (в данном случае в кредитной) отсутствует как таковое.

Эта оценка соответствует такой ситуации, когда решения о применении банковских технологий в кредитной организации принимаются спонтанно, а решение практических вопросов полностью зависит от исполнителей в ее подразделениях, в основном, естественно, подразделения информатизации (автоматизации) в отсутствие контроля. Такая организация подвержена воздействию наибольшего количества источников компонентов банковских рисков, так что внедрение любого варианта ДБО может подвергнуть ее серьезным испытаниям. Об эффективности деятельности говорить, понятно, не приходится, результаты больше зависят от удачи, чем от профессионализма.

1 (Минимум) — Процессы в кредитной организации специализированы, но неорганизованны. Имеются документы, свидетельствующие о понимании в организации проблем управления, однако существующие процессы управления не стандартизованы, применяются эпизодически (при возникновении очевидной необходимости) и бессистемно. Общий подход к управлению рассматриваемой деятельностью и контролю над ней не выработан.

Такая ситуация типична для многих малых и средних российских кредитных организаций, причем даже независимо от наличия или отсутствия технологий электронного банкинга. В современных условиях им свойственны частые случаи реализации компонентов типичных банковских рисков, так что в перспективе этим организациям для выживания необходим радикальный пересмотр организации внутрибанковских процессов, поскольку в текущем состоянии она заведомо не может считаться пруденциальной и корпоративной, обеспечивающей их надежность и устойчивость.

2 (Повторяемость) — Процессы повторяются «на регулярном основании». Они проработаны до такого уровня, что решение одних и тех же задач возможно разными исполнителями. В то же время регулярное обучение и тренинг по стандартным процедурам отсутствуют, а ответственность (практически) возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок и серьезные затруднения с контролем.

Эта ситуация типична для большинства средних и крупных кредитных организаций российского банковского сектора, применяющих банковские автоматизированные системы и технологии электронного банкинга. Это объясняется тем, что в большинстве таких организаций их руководство практически полностью полагается на знания менеджеров среднего звена и исполнителей, что находит свое отражение во внутрибанковских документах, начиная с порядков использования систем электронного банкинга и заканчивая должностными инструкциями ответственных лиц. Соответственно, частота и значимость возможных ошибок непосредственно связаны с уровнем квалификации этих лиц и осознания зависимости от провайдеров кредитной организации (включая их аппаратно-программное обеспечение). При этом можно говорить о возможности придания управлению кредитной организации корпоративности, но для этого требуется его качественное совершенствование.

3 (Определенность) — Процессы документированы и взаимосвязаны, стандартизованы и доведены до персонала посредством обучения. В то же время применяемые процедуры не оптимальны и не современны, поскольку являются просто отражением использовавшейся в организации практики.

Такая ситуация характера для крупных кредитных организаций, которые располагают значительной ресурсной базой и используют одновременно несколько технологий и систем электронного банкинга, равно как для организаций среднего «размера», приближающихся по качеству корпоративного управления и содержанию внутрибанковских процессов к крупным. Признаки подобного уровня развития внутрибанковских процессов наблюдаются в дочерних кредитных организациях зарубежных коммерческих банков, однако в значительной части это связано с использованием их образцов корпоративных внутрибанковских документов типа «стандартов качества», которые внедрены руководством этих банков: их приходится осваивать и к ним необходимо привыкать персоналу как к «руководствам к действию».

4 (Управляемость) — Процессы наблюдаются и оцениваются — имеет место мониторинг и оценка соответствия. При выявлении низкой эффективности процессов управления рассматриваемой деятельностью обеспечивается их по большей части своевременная оптимизация. Процесс управления постоянно совершенствуется и основан на хорошей практике. Используются средства автоматизации управления, однако в небольшом объеме.

Примеры таких организаций спорадичны и единичны, поскольку недостаток корпоративной культуры и устоявшихся бизнес-моделей, разработанных на предыдущем уровне, пока не позволяют достичь такого уровня.

5 (Оптимальность) — Процессы управления рассматриваемой деятельностью соответствуют «лучшей практике», которая основана на постоянном совершенствовании и сравнении их качества с другими организациями, а также автоматизированы. Такая организация способна к быстрой адаптации процессов при изменениях в бизнесе и условиях его ведения.

Это «идеальная» ситуация, напоминающая полностью автоматизированное производство, так что кредитной организации с такими условиями банковской деятельности «не страшно» браться за любые проекты, на которые хватит ресурсов, поскольку все внутрибанковские процессы «отлажены» и гарантируют плавную и естественную адаптацию к изменяющимся условиям ведения бизнеса. Органам же банковского надзора остается только с удовлетворением наблюдать за ее успешной деятельностью (в условиях полностью хеджированных «остаточных» или «чистых» рисков), которой не угрожает ни техническое «перевооружение» в виде внедрения новых технологий электронного банкинга, ни конкуренция, ни недостатки законодательной и нормативной базы, регламентирующей банковскую деятельность.

Интерпретировать промежуточные ситуации, располагающиеся между худшим и лучшим вариантом, относительно несложно. Оценка качества конкретной банковской деятельности в общем случае устанавливается равной среднему арифметическому уровню зрелости (они варьируются от 0 до 5) по всем составляющим этой деятельности. Преимуществом предложенной модели считается то, что ее относительно несложно использовать и руководству организации в применении к самому себе как своего рода оценочную шкалу. Самооценка такого рода позволяет понять, что именно необходимо изменить, если возникает потребность в совершенствовании функционирования организации (впрочем, и собственно необходимость этого надо еще суметь увидеть и осознать!). Отсчет начинается с нулевой оценки потому, что отсутствие каких-либо процессов вообще вполне реально, а диапазон оценок до 5 позволяет заметить различия в степени совершенства организации процессов, выделяя те характеристики, которые уже имеются (и их можно оценивать), и те, которые явно отсутствуют.

С риск-ориентированной точки зрения в области ДБО здесь можно отметить, что более уместной представлялась бы более сложная система оценивания, включающая хотя бы несколько весовых коэффициентов «значимости» (допустим, трех: высшей, средней и низшей[68]), поскольку кредитные организации могут все-таки значительно различаться по содержанию внутрибанковских процессов в зависимости от их специфики (в том числе степени автоматизации банковской деятельности, составу и потребностям клиентуры, — юридических/физических лиц, доли VIР-клиентов, спектру предлагаемых банковских услуг и способам их предоставления, составу и квалификации персонала и т. д.). Однако, несмотря на такую целесообразность, это не считается очевидным и существенно осложняет решение рассматриваемой задачи на текущем этапе развития российского банковского дела, а поэтому остается пока что хотя и ближайшей, но все-таки перспективой.

Тем не менее можно заметить, что в современных условиях банковской деятельности процесс самооценки по тем или иным ее направлениям стал уже практически типовым для кредитных организаций, на что их ориентируют и документы, разрабатываемые Банком России. При последующем совершенствовании организации банковской деятельности руководство кредитной организации может использовать итоги самооценки для результатов адаптации внутрибанковских процессов и процедур к новым условиям ее функционирования, оценки внешнего аудитора и (или) собственной оценки соответствия тем или иным корпоративным стандартам качества банковской деятельности в качестве одного или нескольких из числа критериев, разработанных в отношении качества управления кредитными организациями, хотя в приложении к применению банковских информационных технологий это еще не считается актуальным (пример подхода органов банковского регулирования и надзора США будет приведен в параграфе 5.3).

Что касается технологий электронного банкинга, то при применении процессного подхода прежде всего следует выделить именно их специфику, которая делает желательным применение именно процессного подхода прежде всего потому, что сама она является причиной появления в содержании банковской деятельности новых процессов, ранее ей не свойственных, о чем крайне полезно иметь представление как лицам, принимающим решения относительно инноваций в банковской практике, так и тем, кто эти решения воплощает в жизнь[69]. Любые же новые процессы, а тем более их отсутствие (если необходимость в них не осознается) могут привести к непредсказуемым результатам, которые способны в итоге обусловить неожиданную реализацию компонентов банковских рисков, что и происходит в тех случаях, когда внедрение новых компьютерных технологий типа электронного банкинга не приводит к модернизации внутрибанковских процессов. Основной причиной этого становится то, что руководство и персонал кредитной организации работают в новых условиях банковской деятельности «по старинке», а контроль над этой деятельностью становится заведомо неэффективным.

По состоянию на сегодняшний день технологии дистанционного информационного взаимодействия между участниками банковской деятельности уже достаточно многочисленны — в их число входят системы электронного банкинга, построенные на разных технологиях и протоколах, разных сетевых архитектурах и разного уровня сложности. Поэтому и «проактивный» анализ ИКБД может охватывать внутрибанковские локальные и/или зональные вычислительные сети (особенно в случае многофилиальных банков), виртуальные частные сети, схемы мобильного и беспроводного доступа к распределенным компьютерным системам, организацию так называемых «демилитаризованных зон» (DМZ) в информационных сечениях между банковскими автоматизированными системами и внешним «киберпространством», комплексы провайдеров кредитных организаций (Интернет, связи, аппаратное и программное обеспечение и др.), средства идентификации, аутентификации и верификации для клиентов и персонала, а также криптозащиты информационного обмена и т. д. Круг подлежащих изучению вопросов, как видно, достаточно обширен, и вопросы эти не из самых простых, тем более что их решение требует в общем случае квалифицированного контроля (как вообще необходимого компонента процесса ППР). При этом такой контроль предполагается, во-первых, полноценным (обеспечивающим информативность, достаточную для принятия оперативных решений), во-вторых, адекватным масштабу и сложности деятельности кредитной организации, в-третьих, своевременным в плане возможного реагирования на предполагаемые негативные события (включая также форс-мажорные ситуации).

Важным аспектом внедрения кредитной организацией, использования и развития процессного подхода в условиях применения ТЭБ является полный и адекватный (потребностям и ее обязательствам перед клиентами) учет состава ИКБД. К сожалению, практика свидетельствует о том, что руководители кредитной организации зачастую не задумываются не только о возможном влиянии его компонентов на их деятельность, но и об указанном контуре как таковом. Ситуация реально выглядит так, как будто за пределами организации, использующей ТЭБ, этого контура не существует. На самом деле виртуальность этого контура может оказать вполне реальное влияние на ее функционирование, особенно в тех случаях, когда требуется гарантировать невозможность так называемого «отказа от операции»[70] (ситуация, кстати, типично проблематичная для таких вариантов электронного банкинга как интернет-банкинг или банкоматное и другое карточное обслуживание), или существует опасность незаметного вовлечения этой организации в противоправную деятельность. В последнем случае ее руководству целесообразно задуматься о том, каким образом ее специалисты могли бы восстановить маршрут прохождения и источник ордеров, т. е. подозрительных клиентов, а соответствующий ИКБД в случае, к примеру, интернет-банкинга как раз и отличается тем, что сделать это без специального технологического и технического оснащения (заранее, конечно, предусмотренного в соответствующей СЭБ) практически невозможно.

Таким образом, первой и наиболее важной процедурой, которую целесообразно организовать при принятии решения о переходе к тому или иному виду ДБО, можно считать изучение формирования будущего ИКБД и специфических особенностей функционирования такого контура. В число этих особенностей входят многие подлежащие рассмотрению и решению вопросы, начиная с надежности разнообразного аппаратно-программного обеспечения, продолжая известной взаимной анонимностью агентов ДБО и заканчивая формированием запасных вариантов (маршрутов) ДБО, включая многочисленные организационно-технические аспекты поддержки его функционирования (с учетом систем различных провайдеров), что усложняет задачу «проактивного» анализа. Отсутствие соответствующих технологических схем не позволит кредитной организации перевести внутрибанковские процессы выше уровня 2, а значит, уровни компонентов банковских рисков фактически останутся неприемлемо высокими, но «скрытыми» от УБР.

Не менее важным аспектом процессного подхода является обеспечение надежности функционирования кредитных организаций в части их отношений с провайдерами. К сожалению, пока еще нельзя сказать, что руководители этих организаций полностью осознают сами факты зависимости их деловой активности от провайдеров и, как следствие, зависимости от них интересов клиентов ДБО. Проблема в основном заключается в том, что специфика аутсорсинга как такового, в чем бы он ни заключался (будь это связь, процессинг, клиринг, хранение резервных массивов банковских данных и т. д.), не осознается полностью ни самими кредитными организациями, ни их клиентами[71]. Вследствие этого кредитная организация зачастую практически не отвечает перед клиентом за проблемы, которые в условиях ДБО могут оказаться обусловленными ее провайдером. В свою очередь клиенты, как правило, не задумываются о том, с какими претензиями они придут в эту организацию в том случае, если из-за неполадок в компьютерных системах провайдеров, предоставляемых ими каналах (линиях) связи и т. п., пропадут или будут искажены либо скомпрометированы их данные (содержание ордеров или результаты операций). В то же время сам факт появления в ИКБД систем провайдеров предполагает наличие особого внимания к содержанию договоров между кредитной организацией и провайдером и между нею и клиентом ДБО с таким распределением ответственности, которое как минимум гарантировало бы отсутствие ущерба интересам клиента в случае, к примеру, возникновения форсмажорных обстоятельств или минимизировало его. Наличие такого внимания предполагает и организацию соответствующего обеспечивающего бизнес-процесса в кредитной организации (в котором участвует и клиентура ДБО со свойственными ей компонентами стратегического, правового и репутационного рисков).

Мало того, в последнее время внимание зарубежных органов банковского регулирования и надзора привлекла проблема так называемого «офшоринга». «Говоря по-русски», офшоринг — это трансграничный аутсорсинг процессинга. Речь идет о ситуации, когда провайдер, осуществляющий, допустим, обработку и хранение банковских данных для кредитной организации (т. е. реализующий соответствующие функции, переданные на аутсорсинг), не является резидентом[72]. БКБН в этой связи считает, что «органы банковского надзора страны резидента должны быть уверены в том, что данный банк в самом деле имеет возможности доступа к критично важным для него данным или информации и контролирует их, что необходимо для адекватного управления деятельностью в области электронного банкинга». Кредитная организация в свою очередь должна предоставить контролирующему органу необходимые гарантии того, что эта ситуация реально имеет место, и их подтверждение (обеспечение).

На самом деле в ситуации трансграничного банковского обслуживания или аутсорсинга процедур (как компонентов процессов) значительно больше: часть из них связана с обеспечением «гарантированного» доверия самой кредитной организации к провайдеру, надежности и защищенности его автоматизированных систем, обеспечению им информационной безопасности, в том числе защищенности от возможных внешних атак на кредитную организацию через распределенную компьютерную систему провайдера и ИКБД, в который он входит. Другая часть связана с доверием со стороны клиента к такой организации, которая использует аутсорсинг процессинга, к тому же трансграничный. Естественно, обеспечение конфиденциальности сведений о банковских данных, принадлежащих на самом деле клиенту, и об операциях с этими данными должно, по идее, гарантироваться обслуживающей его кредитной организацией, которая в свою очередь сама должна иметь необходимые гарантии, к тому же с учетом требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных»[73]. А для этого службы ИТ, внутреннего контроля и обеспечения информационной безопасности кредитной организации (как минимум) должны иметь возможности контролировать ситуацию у провайдеров, обеспечивая тем самым защиту интересов кредитной организации и опосредованно ее клиентов. Такие требования характерны для банковского законодательства ряда стран, к примеру Германии, но в российских условиях правовые основания в отсутствие полноценного регулирования деятельности провайдеров кредитных организаций остаются сомнительными.

Приведенный перечень дополнительных процедур может быть продолжен специалистами самих кредитных организаций в зависимости от того, какие именно внутрибанковские процессы имеют отношение к применению ТЭБ. Главное заключается в том, что рассматриваемый подход должен приводить к созданию в кредитной организации такой совокупности внутрибанковских процессов и такого их административного и организационно-технического обеспечения, которые будут работоспособны и эффективны вне зависимости от тех конкретных технологий электронного банкинга, которые уже используются в ней или которые предполагается внедрять. Этот своего рода «шаблон деятельности» в форме одного из глобальных для кредитной организации процессов превращается тем самым в своеобразный корпоративный стандарт, который гарантирует адекватность принятия решений целям организации и получения результатов независимо от особенной отдельных технологий такого рода. Для ее персонала это будет означать, что каждый сотрудник на своем однозначно определенном месте в точно определенные отрезки времени будет выполнять заданные необходимые функции полно, четко и ответственно. В результате в кредитной организации формируется полнофункциональная и «устойчивая к инновациям» система управления внесением изменений в бизнес-процессы и их контроля, отвечающая потребностям организации и ее клиентов, обеспечивающая тем самым соответствующие конкурентные преимущества.

По результатам проведенного анализа далее в кредитной организации разрабатываются распорядительные документы, положения и порядки, которые предназначены для реализации процессного подхода и в которых описываются также организационные и информационные взаимосвязи между процессами. Тем самым обеспечиваются возможности для реализации принципов эффективного корпоративного управления, которое вместе с управленческим наблюдением (контролем) относится к процессам высшего уровня в кредитной организации. С риск-ориентированных позиций ошибки в определении содержания внутрибанковских процессов этого уровня могут стать основными причинами возникновения источников тех компонентов банковских рисков, которым подвергаются кредитные организации даже независимо от степени квалификации и усилий их исполнительского персонала. При этом особенностью формирования этих процессов на текущем этапе становится необходимость учета всех факторов, действующих в ИКБД, в силу их множественности и разнообразия.

С тех же позиций при проведении анализа желательно учитывать все внутрисистемные информационно-финансовые связи, от которых явно зависит эффективность экономического функционирования клиентов кредитной организации, включая гарантии целостности и защищенности клиентской информации. Во многих случаях такие зависимости образуются «в рабочем порядке», как это обычно бывает при внедрении той или иной инновационной технологии, и, скорее всего, они априори неизвестны руководству кредитной организации (во всяком случае полностью). Поэтому и становится важен комплексный анализ ИКБД в интересах как определения новых внутрибанковских процессов, так и адаптации уже существующих. Недостаточное осознание указанной специфики может быстро привести к возникновению проблем у кредитной организации в случаях, например, массового дистанционного обслуживания с применением так называемой «сквозной обработки» (strаight-thrоugh рrосеssing) при необходимости выявления «на лету» операций, подлежащих обязательному контролю («подозрительных» или «сомнительных»), фиксации сопутствующей сеансовой информации и т. п.

3.2. Основные внутрибанковские процессы, связанные с электронным банкингом.

Вне зависимости от того, какая именно ТЭБ внедряется кредитной организацией, адаптации (модернизации) и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации и заканчивая должностными инструкциями конкретных исполнителей и квалификационными требованиями к ним. Принятие соответствующих решений является, естественно, прерогативой высшего руководства кредитной организации, что уместно четко и однозначно определить в ее документах, определяющих ролевые функции совета директоров и высшего менеджмента.

Поэтому тем кредитным организациям, которые «смело смотрят в будущее» и намерены активно поддерживать имидж «Банка ХХI века», логично разработать и внедрить специальный новый внутрибанковский процесс, ориентированный на внедрение инноваций.

Об этом, насколько известно автору, «нигде и никогда» не пишут, а на самом деле ситуация далеко не так проста, как может показаться. Вероятно, особенно важно задуматься о желательности такого процесса, если вспомнить о связанных с внедрением новых технологий компонентах стратегического, операционного, правового и репутационного рисков. Основным содержанием этого процесса является упоминавшийся «проактивный» анализ, ориентированный преимущественно на:

1) изучение содержания и особенностей новой технологии банковского обслуживания, включая анализ ресурсной базы кредитной организации;

2) разработку сценария внедрения технологии и необходимых организационных мероприятий (описание «переходного периода»);

3) оценку потенциальной клиентской базы технологии, возможных тарифов (доходности), рентабельности и требований к клиентам;

4) оценку требований к аппаратно-программному, информационному и административно-организационному обеспечению технологии;

5) оценку требований к квалификации специалистов, связанных с обеспечением применения технологии, и возможной их переподготовке;

6) оценку изменений в процессе УБР, возникновении новых процедур и квалификационных требованиях к его персоналу;

7) оценку изменений в политике обеспечения информационной безопасности, реализующих ее в процедурах и работе соответствующего подразделения;

8) оценку изменений в организации и содержании внутреннего контроля, а также во внутрибанковской системе этого контроля в целом;

9) оценку возможных изменений в мероприятиях, относящихся к финансовому мониторингу, и дополнительного обеспечения его поддержки;

10) оценку изменений в правовом обеспечении банковской деятельности и его квалификационной поддержке;

11) оценку изменений в содержании работы сервис-центра и претензионной работы с клиентами и необходимости новых информационных связей;

12) определение содержания договоров с клиентами, обслуживаемыми дистанционно, и снижение уровней рисков, связанных с ними;

13) определение содержания контрактов с провайдерами и обеспечение контроля их функционирования (соглашения об уровне обслуживания[74]);

14) перераспределение функциональных ролей, обязанностей и ответственности в иерархической структуре организации;

15) достижение согласованности взаимосвязанных внутрибанковских процессов на уровне процедур, включая новые (например, для провайдеров);

16) оценку изменений, которые потребуется внести в информационные системы управления (ИСУ) или системы ППР.

Это только основные компоненты нового внутрибанковского процесса, причем в зависимости от специфики деятельности конкретной коммерческой организации они тоже могут варьироваться по содержанию отдельных процедур. Желательно, кстати, учитывать, что в сфере современной банковской деятельности наибольшее значение имеет именно информационное обеспечение, т. е. необходимо быть уверенным в гарантиях полноты, целостности и своевременности предоставления данных, необходимых для реализации эффективного управления и контроля, независимо от специфики той или иной технологии ДБО. Излишне говорить, что с переходом значительного количества процедур, составляющих банковскую деятельность, в виртуальное киберпространство получение таких гарантий может оказаться весьма затруднительным. Поэтому бывают ситуации, когда может быть лучше даже не торопиться с внедрением многообещающих, но «мало понятных» с позиций традиционных процессов управления и контроля технологий ДБО, а сначала подготовить как следует надежную почву для их внедрения и результативного (в том числе безопасного!) использования. Что, собственно, и имеется обычно в виду под «пруденциальной» организацией условий применения таких технологий.

Очевидно, что все перечисленные выше составные элементы нового внутрибанковского бизнес-процесса представляют собой в свою очередь достаточно специфические процедуры, которые сами требуют специальных решений и мероприятий, организация которых и контроль над которыми являются прерогативой органов управления кредитной организации. Очевидно, что самым важным фактором адекватной реализации этих процедур является осознание их необходимости. В качестве примера, взятого из зарубежной практики банковского регулирования и надзора, можно привести основания для этого: считается, что в составе совета директоров высокотехнологичной кредитной организации должны находиться руководители, имеющие подготовку в области, как говорят, «электронных банковских технологий», обеспечения информационной безопасности и других связанных с ними дисциплин[75]. При этом «во главу угла» ставится обеспечение адекватности системы управления и контроля в таких организациях сложности и масштабам их деятельности с учетом используемых технологий банковского обслуживания, в первую очередь технологий ДБО.

Рассматриваемый бизнес-процесс должен, естественно, опираться на реальные внутрибанковские ресурсы, так что если говорить о его практической интерпретации, то органам управления кредитной организации логично организовать его как подобие своего рода научно-исследовательской работы. Для ее выполнения необходимы прежде всего специалисты в области ИТ, причем из состава как минимум пяти служб[76]: информатизации (автоматизации), операционной (включая маркетинг), обеспечения информационной безопасности, внутреннего контроля и юридической. Каждый из них должен получить и выполнить свое «задание»:

Первые — решение вопросов ТЭО, первого, второго, четвертого, пятого, седьмого, девятого и тринадцатого направлений;

Вторые — решение вопросов по второму, третьему, одиннадцатому и двенадцатому направлениям;

Третьи — решение вопросов по первому, четвертому, пятому и тринадцатому направлениям;

Четвертые — решение вопросов по первому, четвертому — шестому и восьмому направлениям;

Пятые — решение вопросов по первому, шестому, десятому — тринадцатому направлениям.

Направления с 14 по 16 требуют участия руководства кредитной организации (ее исполнительных органов) и всех перечисленных служб. Приведенное перечисление охватывает опять-таки лишь основных специалистов и функции, которые целесообразно было бы включать в обеспечение нового внутрибанковского бизнес-процесса в кредитной организации.

Далее требуются конкретные финансовые средства на внедрение и развитие новой технологии ДБО, причем здесь уместно задуматься и о некотором резервировании, поскольку все возможные затраты изначально предусмотреть невозможно. Считается, что изначально внедрение системы ДБО, такой, как, например, интернет-банкинга, может потребовать существенных инвестиций, однако они быстро себя окупают, и кредитная организация вместе с ростом клиентской базы ДБО начинает получать ощутимую прибыль. Это соответствует действительности (как по данным зарубежных исследований, так и по информации, полученной в ряде российских кредитных организаций). Тем не менее на практике такое внедрение нередко означает реализацию различных как бы «мелких» рисковых компонентов, которые, впрочем, могут оказаться вполне значимыми в смысле стратегического, правового и репутационного рисков, а иногда и операционного, и неплатежеспособности. Ясно, что процессы управления в кредитных организациях, так или иначе связанные с внедрением, эксплуатацией, сопровождением, модернизацией банковских информационных технологий, логично строить с учетом соответствующих прямых и обратных связей в ПСУ или системе ППР. Типичными примерами в этой проблемной области являются:

— «стыковка» действующих и новых банковских автоматизированных систем (они проявляются, как правило, в так называемых «информационных сечениях», и эти сечения должны являться предметом самого пристального внимания специалистов кредитных организаций по информационным технологиям, обеспечению информационной безопасности и внутреннему контролю особенно в случае заказных разработок или приобретения системы ДБО «под ключ», что вполне типично[77]);

— несоответствие функциональных возможностей заказанной или приобретенной «под ключ» системы ДБО реальным деловым потребностям кредитной организации и (или) ее клиентов (следствием чего практически всегда является «заплаточный» способ подгонки уже проданной (приобретенной) системы за счет переписывания и замены программных модулей, «дописывания» (в смысле программирования) дополнительных функций, ошибки в преобразовании (конвертировании) форматов передаваемых файлов и т. п., причем все это чаще всего делается без должного документарного оформления, тестирования и (или) приемо-сдаточных испытаний и т. д.);

— неправильный расчет производительности систем ДБО, что часто связано с недостатками как в маркетинговой политике (реализация стратегического риска), так и в ТЭО (операционный и репутационный риски), а также отсутствие контроля динамики развития данного бизнес-направления (в широком смысле, о котором говорилось в предыдущем разделе) и прогнозирования его дальнейшего развития (или наоборот, что тоже случается);

— наличие недостатков в обеспечении информационной безопасности и защите банковской и клиентской информации (кстати, такие факты нередко являются следствием пренебрежения органами управления кредитной организации реальными ее потребностями в средствах защиты внутрибанковских локальных вычислительных сетей и, возможно, зональных сетей такого рода, а также недостаточного внимания к контролю над распределенными компьютерными системами провайдеров, через которые могут осуществляться разного рода сетевые атаки);

— несовершенство системы внутреннего контроля и функционирования службы внутреннего контроля, выражающееся в том прежде всего, что модернизация ее деятельности отстает от развития и совершенствования банковской деятельности, особенно от изменений, вносимых в ее аппаратно-программное и информационное обеспечение (в настоящее время известно уже много случаев использования систем ДБО для финансовых преступлений и разного рода противоправной деятельности).

Настало время понимания того, что, поскольку каждое внедрение любого из вариантов технологий электронного банкинга способно существенно изменить бизнес-модели кредитной организации, оно неизбежно влияет на ее внутрибанковские процессы, обеспечивающие банковскую деятельность. Поэтому целесообразно на основе понятия «жизненного цикла» (ЖЦ), как отмечалось в параграфе 2.1, адаптировать к новым способам и условиям осуществления банковской деятельности (как минимум) следующие процессы:

— документарного обеспечения банковской деятельности (требуются новые порядки, регламенты, внесение изменений в положения о структурных подразделениях и должностные инструкции и пр.);

— управления банковскими рисками (требуются описания новых компонентов этих рисков);

— информатизации (автоматизации) банковской деятельности (требуется освоение новой технологии и аппаратно-программного обеспечения, создание механизмов администрирования, сопровождения СЭБ и т. д.);

— правового (юридического) обеспечения банковской деятельности (требуется разработка новых вариантов договоров с клиентами, распределения прав и ответственности, комплаенс-контроля и т. д.);

— обеспечения информационной безопасности (требуется обновление политики обеспечения информационной безопасности, разработка моделей угроз безопасности и сценариев их развития, мер по их парированию и т. п.);

— внутреннего контроля — общей системы и соответствующей службы в ее составе (требуется разработка контроля, сопровождаемая дополнением совокупной квалификации);

— финансового мониторинга (требуется разработка новых методик, программ, средств и механизмов мониторинга, моделей угроз);

— обслуживания клиентов (включая сервис-центр) и претензионной работы (требуется освоение нового ИКБД и дополнительное информационное обеспечение, сопровождаемые дополнением совокупной квалификации).

Одновременно необходимо внедрить новый процесс и реализующие его процедуры организации взаимоотношений с провайдерами (требующей решения технических и юридических вопросов, а также дополнения ролевых функций перечислявшихся выше служб кредитной организации).

Понятие ЖЦ стало уже привычным в отношении банковских автоматизированных систем и других информационных систем кредитных организаций, тогда как понятие ЖЦ внутрибанковского процесса таковым пока еще не стало (о чем свидетельствуют многочисленные ошибки, допускаемые в кредитных организациях при внедрении ими новых банковских информационных технологий). Собственно цикл определяется темпом инноваций, поскольку практически любое нововведение такого рода приводит к смещению профиля риска кредитной организации, которое следует учесть в форме модернизации процесса УБР, а затем в адаптации перечисленных выше внутрибанковских процессов. Таким образом, еще одним постулатом обеспечения надежной банковской деятельности является целесообразность понимания и осознания возникновения цикличности этих процессов, чего до внедрения в деятельность кредитных организаций технологий и реализующих их систем электронного банкинга практически не наблюдалось (ввиду отсутствия необходимости в этом при традиционной организации банковского дела).

В качестве примера можно напомнить, что уже одно лишь использование wеb-сайта в банковской деятельности предполагает понимание, с одной стороны, тех обязательств, которые принимает на себя кредитная организация перед, так сказать, «внешним миром», в первую очередь своими реальными и потенциальными клиентами, с другой стороны, того, какие именно условия необходимо обеспечить для выполнения этих обязательств. Обеспечение того и другого как раз и представляет собой определенный внутрибанковский процесс. Содержание такого wеb-сайта, естественно, целесообразно поддерживать актуальным (включая обеспечение целостности информации), в противном случае организация может оказаться подвержена действию ряда источников правового, репутационного и стратегического рисков. Следовательно, в оптимальном варианте, реализации которого должен способствовать процессный подход, в ней назначаются ответственные должностные лица за разработку (или ее организацию в случае заказа третьей стороне на выполнение этой работы), ведение, сопровождение, модернизацию wеb-сайта, наконец, за контроль его функционирования и содержания. Весь этот персонал (крайне нежелательно, чтобы это был только один специалист) целесообразно обеспечить такими документами, как политика кредитной организации в Сети[78], состав информационного обеспечения wеb-сайта (контент), должностные инструкции, порядок информационного взаимодействия (в управленческой иерархии), план действий на случай чрезвычайных обстоятельств. Это минимальный в данном случае набор; дополнительные функции и проблемные вопросы, связанные с wеb-сайтами, будут рассмотрены в главе 6.

Естественно, ответственность за упомянутое осознание лежит на совете директоров и высшем руководстве кредитной организации, от которых зависит принятие решений о переходе к ДБО. В связи с этим можно отметить также, что «недоработки высшего уровня» могут наблюдаться, даже начиная с устава кредитной организации, поскольку описания ролевых функций совета директоров, наблюдательного совета, исполнительных органов зачастую не содержат упоминаний об управлении информационными технологиями и контроле их применения. То же относится к описанию функций аудита (как внутреннего, так и внешнего), включая вопросы аудита информационных технологий и информационной безопасности, как будто банковская деятельность кредитной организации от этих технологий и реализующих их автоматизированных систем никак не зависит. Однако все изложенное в этой книге явно свидетельствует, что это не так.

3.3. Принцип адаптации внутрибанковских процессов.

Из проведенного выше рассмотрения становится понятно, что технологии электронного банкинга могут существенно изменять бизнес-модели и различные процессы (включая операционные) кредитной организации. Поэтому в число базовых принципов организации банковской деятельности при внедрении технологий электронного банкинга целесообразно включить подход, основанный на том, что «вне зависимости от того, какая именно ТЭБ внедряется, адаптации/модернизации и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации».

Весьма желательно закрепление этого подхода во внутренних документах высокотехнологичной кредитной организации, с одновременным определением в них как упоминавшихся выше внутрибанковских процессов, так и порядка их адаптации в рамках ЖЦ. Надо отметить, что в крупных кредитных организациях, функционирование которых регламентируется в совокупности несколькими сотнями внутренних документов и более, для приведения содержания этих документов в соответствие с новыми условиями банковской деятельности (каждый раз вместе с ЖЦ) требуется, по сути, создание специальной службы, которая должна отслеживать изменения в структуре подразделений и внутрибанковских процессах и процедурах, поскольку и то и другое должно находить отражение в плане актуализации содержания документарного обеспечения этой деятельности (без централизованного управления это невозможно).

В этом прежде всего выражается предвидение руководством кредитных организаций качественных изменений в содержании их функционирования и одновременно понимание того, что «неадекватная адаптация внутрибанковских процессов к применению технологий и систем электронного банкинга — системный фактор риска для кредитной организации».

В документах БКБН также предполагается, что высшее руководство кредитной организации должно осознавать все особенности внедряемой ТЭБ, которые могут оказаться связаны с возникновением новых факторов и подмножеств источников компонентов банковских рисков, отсутствие учета которых приведет к чрезмерному повышению их уровней и возможному неконтролируемому смещению профиля риска кредитной организации в целом.

Необходимо отметить также, что адаптация внутрибанковских процессов должна быть согласованной, т. е. изменения в составе и содержании процедур (функций, операций), составляющих тот или иной процесс, целесообразно вносить «в едином ключе», на основе требований к содержанию УБР и, как пишут, удержания уровней банковских рисков в допустимых пределах. На самом деле акцент изначально целесообразно делать на разработке своего рода «модели оптимальной организации банковской деятельности», под которой имеется в виду достижение «безрисковой» ее организации с позиций максимально достижимого исключения возможностей возникновения новых источников компонентов банковских рисков. Естественно, поскольку банковская деятельность безрисковой в буквальном смысле быть не может, такие модели всегда будут идеалистичны, однако в условиях отсутствия регламентации применения банковских информационных технологий (в широком смысле) это, пожалуй, единственный реальный способ совершенствования организации внутрибанковских процессов при внедрении любой ТЭБ. Этот подход отражен на рис. 3.2, где показан с некоторой долей условности ЖЦ некой автоматизированной системы и участие в нем структурных подразделений кредитной организации (основных с точки зрения тематики изложения) во взаимодействии с «внешним миром». Ниже приводится краткое описание ролевых функций (внутрибанковских процессов), которые могли бы выполняться этими подразделениями в своих жизненных циклах; для тех подразделений, которые на схеме не показаны, рассуждения могут быть аналогичными в плане адаптации их работы к внедрению новых технологий.

Применение технологий электронного банкинга: риск-ориентированный подход

В материалах зарубежных органов банковского регулирования и надзора, посвященных управлению банковскими рисками, как правило, подчеркивается, что при внедрении технологий и систем электронного банкинга кредитным организациям следует (как минимум):

— интегрировать приложения электронного банкинга с уже действующими банковскими автоматизированными системами;

— обеспечить целостность принимаемых, хранимых, передаваемых и обрабатываемых банковских и клиентских данных;

— гарантировать наличие процедур усовершенствованного контроля над рисками, внутреннего контроля и процессов аудита.

Из этого перечисления следуют описанные ниже функциональные роли (на схеме показан полный ЖЦ БАС, если разработка осуществляется самой кредитной организацией, если же заказные или автоматизированные системы приобретаются «под ключ», то начальные этапы отсутствуют).

Руководство кредитной организации участвует в ЖЦ банковских автоматизированных систем и внутрибанковских процессов с самого начала — с этапа подготовки ТЭО и выбора конкретной технологии. Кроме этого, от него зависит утверждение выбора компании-разработчика (при необходимости) и других провайдеров, которые будут поддерживать ИКБД[79]. Хорошей «практикой» при этом считается проведение тендера, в процессе которого учитываются такие основные характеристики провайдера, как:

— опыт в данной области предоставления услуг;

— техническое обеспечение предоставления услуг;

— квалификация персонала;

— мнение других клиентов (провайдера);

— стоимость и условия предоставления услуг;

— финансовое состояние;

— возможности мониторинга деятельности провайдера;

— возможность заключения договора с учетом SLА;

— возможная зависимость от суб-провайдеров;

— возможности замены провайдера.

Требования кредитных организаций в отношении провайдеров могут быть шире, здесь перечислены характеристики, учитываемые «как правило».

После принятия решения о внедрении ТЭБ руководство кредитной организации инициирует проектирование и разработку соответствующей СЭБ и поддерживающей применение этой технологии инфраструктуры в кредитной организации, основой для которой является, естественно, уже имеющаяся структура ее подразделений. При этом акцент целесообразно делать на минимизации рисков, связанных с нарушениями требуемых порядков проектирования и разработки (в соответствии с упоминавшимися ранее ГОСТами).

Последующее участие руководства кредитной организации или ее исполнительных органов связано с контролем проведения испытаний автоматизированной системы (АС), для чего следует инициировать разработку программ и методик их проведения (общепринятой практикой стало проведение испытаний по трем этапам так называемых альфа-, бета- и гамма-тестов[80]), а также составление протоколов и актов как минимум для приемо-сдаточных испытаний (ПСИ), где отражаются результаты отработки контрольных примеров. В задачи руководства входит при этом осуществление тщательного контроля за ходом и результатами ПСИ, поскольку в дальнейшем от этого во многом будет зависеть эффективность автоматизированной банковской деятельности, неважно идет ли речь о СЭБ или другой АС.

Далее на регулярной основе представителями руководства кредитной организации осуществляется контроль эксплуатации АС и ее сопровождения, в ходе которого могут осуществляться незначительные доработки, например, программного обеспечения. Такие доработки в любом случае должны документально оформляться и проходить дополнительные ПСИ: на практике известно много случаев, когда это правило не выполнялось, из-за чего впоследствии функционирование автоматизированных систем неожиданно начинало отклоняться от штатного, что приводило к реализации компонентов операционного риска (а затем, возможно и других банковских рисков). То же самое относится к выполнению решений о модернизации АС с добавлением новых сервисов в рамках ДБО и функциональных модулей СЭБ или БАС: принятие соответствующих решений должно сопровождаться процедурами проверки сохранения целостности АС (имея в виду отсутствие нарушений в ее функционировании из-за доработки).

Специалисты в области ИТ участвуют во всем ЖЦ любой АС, одновременно на них ложатся задачи (на схеме не показанные, чтобы не перегружать ее обозначениями интуитивно понятных процедур) определения вендоров и провайдеров[81], при содействии которых будет формироваться ИКБД для внедряемой ТЭБ. От них зависит определение технических параметров ДБО: производительности СЭБ и БАС кредитной организации, пропускной способности каналов связи, инструментальной среды баз данных, использования wеb-сайтов кредитной организации и т. п., а также средств сетевой и вирусной защиты, администрирования вычислительных систем и сетей, политики информатизации и модернизации и решения связанных с этими процедурами организационно-технических вопросов. Чаще всего ЖЦ процесса информатизации формируется «сам собой» в привычном соответствующим специалистам ключе, и вопросов к выполнению перечисленных здесь функций при внедрении ТЭБ не возникает (в силу их специфики), чего нельзя сказать о других структурных подразделениях кредитной организации.

Участие специалистов в области обеспечения информационной безопасности в жизненных циклах банковских автоматизированных систем и систем электронного банкинга считается обязательным, поскольку от этого зависят результаты и эффективность решения большого числа проблемных вопросов электронного банкинга, начиная с распределения прав и полномочий доступа к информационно-процессинговым ресурсам кредитной организации и заканчивая защитой этих ресурсов от разнообразных сетевых атак. В оптимальном варианте их участие начинается с включения необходимых средств обеспечения информационной безопасности и защиты информации в проекты БАС и (или) СЭБ (при собственной разработке той или иной системы, что, впрочем, встречается нечасто), т. е. требуется определение типа и состава последних, начиная со средств физического и логического доступа. Если разработка собственная или заказная, то в ее процессе желательно отслеживать, по возможности, включение таких средств в состав той или иной АС; если система приобретается «под ключ», то указанные специалисты должны сопоставить свои требования, которые они предъявили бы в случае заказной разработки, с теми, которые были реализованы в приобретаемой системе (посредством изучения технического задания на ее разработку, технического описания АС, а также руководств ее администраторов и пользователей).

На этапах испытаний эти же специалисты должны убедиться в том, что предусмотренные средства обеспечения информационной безопасности действительно имеются в АС и функционируют должным образом. Для этого они должны участвовать в разработке программ и методик проведения ПСИ, разрабатывать контрольные примеры и проводить собственно испытания таких средств совместно со специалистами в области ИТ и внутреннего контроля, фиксируя свои оценки в протоколах и актах по итогам испытаний. По существу такие испытания в части информационной безопасности означают имитацию попыток «взлома» компьютерных систем, НСД к ним (к их программно-информационному обеспечению), отказа обеспечивающих их функционирование систем (например, системы электропитания) и т. п. Необходимо отметить такое усложнение функций этих специалистов при приобретении той или иной АС, как проверка ее на отсутствие так называемых «закладок», т. е. программных модулей, способных в фоновом режиме выполнять, как говорят, «недокументированные функции», ориентированные на хищение финансовых средств или конфиденциальной информации. При модернизации АС вопросы обеспечения информационной безопасности заключаются во внедрении при необходимости новых средств для этого и проверки сохранения функциональности действующих средств защиты информации. В этом также заключается адаптация обеспечения информационной безопасности к новым условиям функционирования кредитной организации.

Специалисты в области внутреннего контроля (в том числе при необходимости и службы финансового мониторинга) выполняют в ЖЦ автоматизированных систем аналогичные функции. Прежде всего они должны на основе анализа потоков клиентских и банковских данных в этих системах определить состав необходимой им контрольной информации, информационные сечения (внутри- и межсистемные) и контрольные точки, в которых будет осуществляться ее считывание в процедурах проверки функционирования программно-информационного комплекса кредитной организации. При этом предполагается, что именно эти специалисты могут сделать указанный выбор и определить состав встраиваемых в АС средств внутреннего контроля исходя из особенностей организации ДБО, ИКБД, СЭБ и БАС кредитной организации. На этапах испытаний они должны убедиться в наличии и работоспособности средств внутреннего контроля, причем для этого требуется детальная проработка контрольных примеров, позволяющая оценить функционирование автоматизированных систем как в штатных режимах, так и в случаях совершения клиентом ошибок (для этого требуются модели ошибочных действий), а также возникновения форс-мажорных обстоятельств (имитируемых в процессе ПСИ с помощью моделей последствий их возникновения).

Для проведения таких испытаний целесообразно организовывать имитационное тестирование, позволяющее отслеживать и контролировать прохождение трафика в соответствии, например, с диаграммами потоков данных[82], которые используются при проектировании АС. При этом организуется АРМ модельного клиента для имитации его действий (штатных и нештатных) и АРМ системного администратора, используемое для фиксации событий «внутри» АС, контроля прохождения данных через просмотр файлов системных и аудиторских журналов. Кстати, многие функциональные возможности, организуемые при проведении ПСИ, связанные с комбинированием различных функций административного уровня, по завершении испытаний необходимо отключить или блокировать, а также уничтожить все модельные данные, определяющие права и полномочия доступа к информационно-процессинговым ресурсам кредитной организации во избежание их «зависания» в АС и возможного последующего противоправного использования. В завершение ПСИ специалисты внутреннего контроля принимают участие в оформлении их итоговых документов, характеризующих функционирование ИКБД, СЭБ и БАС.

В ходе эксплуатации внутренний контроль реализуется по тем штатным схемам, которые установлены руководством кредитной организации в программах и методиках его осуществления. При выполнении процедур, относящихся к сопровождению и модернизации СЭБ и БАС, специалисты внутреннего контроля должны «отслеживать» проведение соответствующих ПСИ, убеждаясь в сохранении целостности средств контроля, которая может пострадать при внесении изменений в программно-информационное обеспечение указанных систем (что нередко случается из-за его сложности). Тем самым реализуется адаптация внутреннего контроля к новым условиям банковской деятельности, распространяемая в дальнейшем на всю систему внутреннего контроля кредитной организации (элементы в ее подразделениях).

Очевидно, что в случае заказной разработки АС специалисты внутреннего контроля кредитной организации должны участвовать в подготовке исходных требований на разработку и согласовании соответствующего технического задания (которое разрабатывает ее исполнитель). В этом же случае, а также если АС приобретается «под ключ», те же специалисты должны участвовать в разработке и согласовании программ и методик проведения ПСИ, а также в самих испытаниях, включая подписание протокола и акта проведения ПСИ. Проводить эти испытания целесообразно на стендовых средствах самой кредитной организации, хотя, как показывает практика, такими средствами может располагать далеко не каждая кредитная организация, почему и приходится пользоваться для этого средствами организации разработчика. При этом надо иметь в виду, что, например, инсталляция на банковском оборудовании может выявить те или иные особенности и недостатки в функционировании АС просто из-за различий в версиях или релизах операционного программного обеспечения, операционных систем и т. п. Если кредитной организации предлагается система, сделанная «под ключ» без возможности проведения ее ПСИ в этой организации, то ее специалистам следует ознакомиться с документами о предыдущих испытаниях этой системы и убедиться в соответствии их содержания требованиям, установленным в ней самой (предполагается, что руководству этой организации такие требования известны и существуют соответствующие внутренние распорядительные документы, порядки, регламенты и т. п.).

Ролевые функции сервис-центра (иногда называемого «саll-сеntеr») в соответствующем ЖЦ связаны в основном со сбором информации о функционировании банковских автоматизированных систем, их доработках и модернизации с тем, чтобы у клиента не возникало замешательства при каких-либо изменениях в их работе. Наиболее простым примером из практики является изменение дизайна wеb-сайта кредитной организации, о котором заранее не сообщается и которое вызывает негативную реакцию, если привычный вид wеb-страниц изменяется таким образом, что элементы управления (навигации) и информационные компоненты исчезают с привычных мест и их приходится разыскивать, «прыгая» по системе меню такого wеb-сайта и гиперссылкам. Очевидно, что внедрение новой ТЭБ, реализующей ее СЭБ, и предоставляемых ею сервисов приводит к необходимости изменения содержания работы сервис-центра, адаптируемой к внедрению и модернизации ДБО, в том числе в части переподготовки соответствующего персонала и расширения его служебного информационного обеспечения.

Как уже отмечалось, службы ИТ, обеспечения информационной безопасности, внутреннего контроля и финансового мониторинга, и сервис-центр кредитной организации должны выполнять некоторые функции и в отношении «внешнего мира». Эти функции относятся к взаимодействию кредитной организации с вендорами, в части контроля качества продаваемых ими средств автоматизации банковской деятельности, провайдерами — в части гарантирования уровней обслуживания (SLА) и со своими клиентами — в части принятия максимально «жестких» ограничений на их деятельность. Каждый аспект этой внешней по отношению к кредитной организации деятельности налагает своеобразные требования на содержание отдельных процедур во всех перечисленных процессах или некоторых из них. Основное внимание при определении их содержания и взаимосвязей друг с другом руководству кредитной организации целесообразно уделять различным условиям:

— контрактов и договоров, в которых фиксировалось бы точнее распределение обязанностей и ответственности сторон с учетом специфических особенностей каждой ТЭБ и формируемого ею ИКБД;

— функционирования и использования автоматизированных систем, с помощью которых реализуется ДБО и к которым имеют доступ (или отношение) стороны, выполняющие оговоренные функции;

— восстановления функционирования автоматизированных систем и каналов связи в составе ИКБД и обеспечения их доступности для осуществления ДБО и выполнения сторонами своих обязательств;

— взаимодействия договаривающихся сторон с определением соответствующих порядков, включая обеспечение подтверждения идентичности этих сторон и аутентичности информационного обмена;

— разрешения конфликтных и спорных ситуаций, препятствующих штатному осуществлению ДБО, которые могут возникать в ИКБД, равно как и мерам, принимаемым в обеспечение этих условий.

В целом состав и характеристики (параметры) этих функций всегда зависят от состава и организации ИКБД (для каждой ТЭБ), а следовательно, могут варьироваться с течением времени, причем обязательно при внедрении нового варианта ДБО, так что адаптация будет затрагивать соответствующие процессы и в этом отношении. Главным фактором, обусловливающим очередной «виток» ЖЦ для них, являются отличия в реализации ДБО в каждом из этих вариантов, которые неизбежны даже при использовании однородных технологий электронного банкинга, а поэтому требуют изучения, освоения и учета, т. е. своего рода «точной настройки» внутрибанковских процессов.

Приведенное краткое описание ЖЦ АС и участия в нем разных служб кредитной организации может быть расширено исходя из ее структуры, поскольку в условиях большого разнообразия вариантов организации банковской деятельности, состава подразделений, применяемых автоматизированных систем и их архитектуры дать детальные полные рекомендации невозможно. В этом, кстати, заключается основная методологическая проблема, в решении которой в условиях применения технологий электронного банкинга целесообразно объединять усилия исполнительных органов кредитной организации и специалистов из упомянутых (как минимум) подразделений. Следствием возникновения этой проблемы становится решение вопроса согласованной адаптации совокупности внутрибанковских процессов с каждым «оборотом» ЖЦ банковских автоматизированных систем и технологий электронного банкинга при их последовательном внедрении в постоянно развивающуюся и усложняющуюся банковскую деятельность.

3.4. Адаптационный метапроцесс.

Суммируя сказанное, можно перечислить основные зоны концентрации источников компонентов банковских рисков в случае внедрения ТЭБ, анализ которых целесообразно проводить:

БАС, с которой потребуется интегрировать программно-информационный комплекс электронного банкинга;

Поставщики (вендоры) программно-информационных комплексов и аппаратно-программного обеспечения, подлежащих контролю;

Внутрибанковские процессы управления и контроля, включая иерархию ответственности, подконтрольности и подотчетности;

Внутрибанковское документарное обеспечение новой технологии от порядков и инструкций до должностных обязанностей персонала;

Условия внедрения и применения новой технологии и реализующих ее систем электронного банкинга, которые потребуется создавать;

Средства обеспечения информационной безопасности кредитной организации, внутрибанковских процессов и ее клиентов;

Система внутреннего контроля, которая должна будет расшириться и адаптироваться к ТЭБ (включая финансовый мониторинг);

Персонал кредитной организации, квалификация которого должна будет соответствовать новым требованиям (на разных уровнях иерархии);

Клиенты кредитной организации, которым потребуется дополнительная подготовка для пользования новыми сервисами;

Провайдеры кредитной организации, через телекоммуникационные и процессинговые системы которых пойдет новый банковский трафик.

Дополнительные вопросы юридического (правового) обеспечения банковской деятельности включают:

— содержание договоров с клиентами и контрагентами кредитной организации;

— оценку соответствия новой деятельности требованиям законодательных и подзаконных актов;

— обеспечение выполнения правил бухгалтерского учета и достоверности регламентной банковской отчетности (в виртуальном пространстве).

В оптимальном варианте в кредитной организации должны быть документированные свидетельства выполнения ее руководством своей функциональной роли при обосновании и принятии решений о внедрении и применении новой банковской технологии и адаптации внутрибанковских процессов и входящих в их состав процедур к условиям банковской деятельности, формируемым новой ТЭБ. Точно так же предполагается наличие распорядительных документов и порядков, регламентирующих согласованную адаптацию внутрибанковских процессов, т. е. модернизироваться должны все процессы, которые затрагивает внедрение ТЭБ, так чтобы не получилось, например, что специалисты внутреннего контроля или обеспечения информационной безопасности оказываются «не в курсе» технологических и технических изменений и продолжают работать «по старинке». Такая ситуация является угрожающей для кредитной организации и ее клиентов, поскольку способствует возникновению неконтролируемых источников компонентов банковских рисков.

Сказанное выше означает по существу, что в кредитной организации, переходящей к использованию технологий электронного банкинга, целесообразно организовать своего рода «процесс управления процессами» или, в современной терминологии, «мета-процесс». Этот процесс в оптимальном варианте организации банковской деятельности при формировании новых условий ее осуществления должен бы «автоматически» запускаться на основе распорядительных документов кредитной организации и ее внутренних регламентов (порядков), приводя к модернизации содержания как минимум перечисленных ранее в этом параграфе внутрибанковских процессов. Следует подчеркнуть, что предложенное здесь представление внутрибанковского мета-процесса не следует рассматривать как надуманное и нереалистичное: практика изучения организации и содержания современной банковской деятельности свидетельствует, что новые, непредвиденные компоненты типичных банковских рисков возникают не только тогда, когда адаптации внутрибанковских процессов к внедрению ДБО не происходит, но и тогда, когда адаптируются не все связанные с ним процессы или адаптируются без должного согласования между собой и в структуре кредитной организации в целом. Упрощенная общая схема такого ЖЦ, мета-процесса, управляющего им, и состава отдельных мероприятий (этапов), которые осуществляются в каждом цикле, приведены, соответственно, на рис. 3.3 и 3.4. В зависимости от состава процедур в общебанковских процессах управления и контроля эта схема может варьироваться в сторону большей детализации, однако это не имеет принципиального значения до тех пор, пока сохраняется ее связь с внедрением новых банковских информационных технологий, таких как технологии электронного банкинга.

Применение технологий электронного банкинга: риск-ориентированный подход Применение технологий электронного банкинга: риск-ориентированный подход

В материалах зарубежных органов банковского регулирования и надзора подобный подход пока что отсутствует, по-видимому, потому, что история автоматизации банковской деятельности «на Западе» насчитывает десятилетия, а при ее начале разработка теории банковских рисков даже не планировалась. Достаточно вспомнить, что первое крупное компьютерное мошенничество, в результате которого было похищено около сорока миллионов долларов, произошло в одном из чикагских банков в 1974 г., а разработка первого варианта рейтинговой системы URSIТ, используемой американскими органами банковского регулирования и надзора[83], относится к 1978 г. (ее совершенствование продолжается до настоящего времени вместе с технологическим и техническим прогрессом в банковской сфере). Американские специалисты банковского инспектирования начали применять методы так называемого «компьютерного аудита» еще в начале 70-х годов прошлого века[84]. Как раз в это время (с 1971 г.) там началось интенсивное внедрение банкоматов, систем автоматизированной обработки чеков (впрочем, первую полнофункциональную систему такого рода ввел в эксплуатацию Сhаsе Маnhаttаn Ваnк еще в 1961 г.) и т. д., причем к этому времени в банковском секторе США работал уже каждый пятый программист в стране. Компьютеризация российского банковского сектора происходила весьма быстрыми темпами, значительно опережающими «осознание» значимости и особенностей этого явления, что до сих пор проявляет себя в уровнях рисков.

Принятие рассмотренного подхода отвечает требованиям времени, так как смещения профилей рисков кредитных организаций вместе с продолжением технического прогресса в обеспечении банковской деятельности и развитием ДБО неизбежны, а значит для поддержания технологической надежности ДБО эти явления должны анализироваться и учитываться руководством как во внутрибанковских процессах.

УБР, так и в процессах, связанных с ним. Проявлением оптимизации управленческого подхода в этом плане (равно как и корпоративного управления в целом) можно было бы считать разработку новых видов внутренних документов кредитной организации, например имеющих условное название «Принципы и порядок адаптации внутрибанковских процессов», положения которых учитывались бы затем в «Порядке организации управления банковскими рисками», «Политике информатизации», «Политике обеспечения информационной безопасности», «Положении о системе внутреннего контроля», «Положении о службе внутреннего контроля», «Положении об осуществлении финансового мониторинга», «Положении об организации взаимоотношений с провайдерами», «Порядке ведения претензионной работы» и других внутрибанковских документах (приведенные названия их также ориентировочные).

Высказанные соображения в значительной степени относятся к «общей культуре» банковской деятельности и корпоративному управлению ею в кредитных организациях, о чем руководство многих из этих организаций, причем уже довольно давно внедряющих системы электронного банкинга, стало задумываться лишь в последнее время. Отчасти это связано с тем акцентом, который делается на этой проблематике Банком России, отчасти это можно считать следствием реализации компонентов банковских рисков, возникших ввиду «непредвиденных обстоятельств», которые вполне можно было предвидеть при условии осуществления проактивного анализа факторов возникновения и источников компонентов банковских рисков в ИКБД. В то же время формирование общей культуры невозможно без доведения понимания цикличности внутрибанковских процессов до менеджмента среднего уровня и ответственных исполнителей в кредитной организации, отвечающих за ДБО, поскольку конкретизация их рабочих процедур через функции и операции далеко не всегда может быть точно определена «сверху» исполнительными органами (просто в силу их специфики при работе с системами электронного банкинга и банковскими автоматизированными системами). Актуальность этой темы и ее «ориентированность» на изучение структуры банковских рисков и снижение их уровней в современных условиях банковской деятельности сомнению не подлежит.

Глава 4. Особенности корпоративного управления в условиях электронного банкинга.

Мой босс этого не понимал, как не понимал того, что не понимает этого.

Д. С. Платт. «Софт — Отстой! И Что С Этим Делать».

Развитие корпоративного управления стало актуальной темой для российского банковского сообщества с начала 2000-х гг., но в отношении высокотехнологичных кредитных организаций дальше деклараций наиболее общего характера дело внедрения его принципов пока не пошло, а распространение новых банковских информационных технологий только осложнило ситуацию. Причины этого заключаются, по-видимому, и в новизне ДБО как такового, и в сложности управления работой автоматизированных систем, составляющих его основу, и в неочевидности подходов к реализации соответствующих контрольных функций руководством кредитных организаций. Как следствие затруднений с решением этих проблемных вопросов, начали реализовываться многообразные компоненты типичных банковских рисков, сопутствующих ДБО, так что кредитные организации и их клиенты стали нести достаточно ощутимые потери. Реализация рисков продолжается до сих пор, и в целом ситуация только осложняется, причем уже в международных масштабах (например, компрометация пластиковых карт). Это означает, что для парирования влияния нетривиальных источников риска требуются новые подходы к УБР, поскольку традиционные методы больше не могут считаться надежными. Это в свою очередь означает необходимость создания новых моделей корпоративного управления для новых технологий.

Несмотря на наличие двух основных документов Банка России, посвященных данной проблематике, а именно писем от 13 сентября 2005 г. № 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях» и от 7 февраля 2007 г. № 11-Т «О перечне вопросов для проведения кредитными организациями оценки состояния корпоративного управления», практическая реализация предложенных в них подходов в условиях применения систем электронного банкинга вызывает очевидные затруднения. В итоге время истинной, так сказать, «корпоративности» управления в новых условиях банковской деятельности, осуществляемой новыми же способами, пока еще не наступило. Как показывают исследования практики применения рассматриваемых технологий, основной проблемой в части корпоративного управления для многих кредитных организаций пока еще является невозможность основывать свою деятельность на детально разработанных и «технологичных» процедурах (компонентов внутрибанковских процессов) просто в силу отсутствия «готовых рецептов» управления. Поэтому в книге предлагается подход к его адаптации исходя из особенностей, которые привносятся в банковскую деятельность внедрением кредитными организациями технологий электронного банкинга и реализующих их систем, основанный на анализе принципов, описанных в упомянутых выше документах.

Внедрение кредитными организациями технологий ДБО приводит к неконтролируемому смещению профилей как минимум пяти типичных банковских рисков, вследствие чего за последние годы и наблюдалось множество случаев реализации их компонентов. В самом возникновении таких компонентов, которое оказалось, судя по всему неожиданным не только для российских кредитных организаций, но и для международного банковского сообщества, ничего удивительного нет, однако в отношении руководства кредитных организаций свою заметную негативную роль сыграл тот разрыв между традиционной интерпретацией банковской деятельности и новым ее содержанием, о котором говорилось выше. Поэтому совершенствование корпоративного управления в условиях применения технологий электронного банкинга, с точки зрения автора, необходимо именно для исключения негативных явлений такого рода. Оно является не просто насущной задачей, но процессом, жизненно необходимым для высокотехнологичных кредитных организаций. В противном случае кредитная организация окажется подвержена действию большинства сопутствующих ДБО факторов операционного, правового и репутационного риска (а в наиболее неблагоприятных случаях — и риска неплатежеспособности), что само по себе приведет к заметным финансовым потерям, а в худшем случае будет иметь место реализация стратегического риска, свидетельствующая о неготовности такой организации к переходу на ДБО, и тогда финансовые потери окажутся максимальными.

В то же время априори понятно, что внедрение новых банковских технологий, особенно таких, которые предполагают дистанционное, а значит, специфическое и отчасти анонимное обслуживание (как следствие дистанционности и отсутствия гарантий идентичности и аутентичности с обеих информационно взаимодействующих сторон), не может не являться в обязательном порядке прерогативой высшего руководства кредитной организации, поскольку любая из таких технологий может оказаться связана с возникновением множества источников (факторов) компонентов упомянутых банковских рисков. В оптимальном варианте все они должны были бы заблаговременно учитываться в кредитной организации в форме адаптации процедур выявления, анализа и оценки банковских рисков. Для каждого из них в отдельности и для всех в совокупности тому имеется ряд причин.

Во-первых, стоимость систем, реализующих ТЭБ, может быть весьма высока, и таким образом одна лишь ошибка в выборе варианта перехода к ДБО может в буквальном смысле «дорого стоить» кредитной организации. Кроме того, далеко не любая технология может оказаться легкой в использовании, а следовательно, оперативно востребованной для клиента, тем более что и уровень компьютерной грамотности среди населения нередко бывает невысок. Также существует проблема интеграции приобретаемой или разрабатываемой системы ДБО с уже действующими банковскими автоматизированными системами, наиболее часто проявляющая себя в информационных сечениях между действующими и вновь внедряемыми автоматизированными системами, а также недостаточной подготовке персонала, работающего с этими системами.

Во-вторых, не исключены, особенно в условиях бума ТЭБ (реально наблюдающегося в нашей стране), случаи применения недостаточно отлаженных, отработанных и всесторонне проверенных систем. К этому примыкает проблема подтверждения соответствия функциональных возможностей вновь внедряемых систем заявленным требованиям. Руководству кредитных организаций, использующих автоматизацию банковской деятельности как таковую (а других сегодня, скорее всего, и не существует), целесообразно по-разному организовывать процедуры приемо-сдаточных испытаний любых БАС (не только систем ДБО) в зависимости от того, разработаны они собственными специалистами (таких кредитных организаций меньшинство), созданы на заказ или приобретены «под ключ». Очевидно, что детальность функционального тестирования (как минимум) на этапе приемо-сдаточных испытаний должна повышаться от первого варианта к третьему, причем точно также растет и его сложность, поскольку работу собственных специалистов проконтролировать существенно проще, чем заниматься вылавливанием «жучков» в автоматизированных системах, внедренных сторонними организациями. Растут и требования к квалификации персонала, выполняющего процедуры такого рода.

В-третьих, не всегда имеются достаточные гарантии защищенности ТЭБ как таковых и соответствующих (реализующих и обеспечивающих их) распределенных компьютерных систем. Это относится как к обеспечению гарантий сохранения банковской тайны, так и к устойчивости к сетевым атакам, авариям, сбоям и другим неприятностям киберпространства. В этом плане целесообразно формировать политику информационной безопасности с учетом особенностей построения систем ДБО и тех зон ответственности кредитной организации, которые ей придется в итоге брать под контроль (совокупная же информация о таких зонах может иметься только у представителей руководства такой организации, которые могут «взглянуть на проблему сверху»). Адаптация этой политики в условиях существенно изменяющегося «периметра информационной безопасности» и применения новых, возможно не очень хорошо освоенных компьютерных технологий может оказаться непростым делом даже только в части ее документального оформления (описания).

В-четвертых, руководству кредитной организации целесообразно изначально задаться вопросом о возможности полноценного контроля использования ТЭБ и реализующих их компьютерных систем, равно как и сотрудников самой организации, которые будут обеспечивать их применение. Понятно, что работу любого специалиста в области информационных технологий может проконтролировать только специалист, имеющий как минимум аналогичную квалификацию (а лучше — более высокую). Отсюда и возникновение одного из оснований для принятия «принципа четырех глаз». В то же время не секрет, что реальным банком является в современных условиях не здание с надписью «Банк имярек» на фасаде, а банковская информационная система с хранилищем данных. Такая система может находиться как в этом же здании, так и в любом другом месте, например на территории провайдера, реализующего процессинг или другой аутсорсинг для кредитной организации. Вполне реально и нахождение такого провайдера вообще в нерезидентной юрисдикции, что нередко встречается при международном разделении труда. Очевидно, что в подобных ситуациях понятие «корпоративность» неизбежно расширяется, выходя за пределы самой кредитной организации. Поэтому ее руководству целесообразно быть в курсе возможных сопутствующих проблем, связанных в том числе с изменениями в профилях банковских рисков и потенциальной потребностью вернуть при необходимости выполнение функций, переданных на аутсорсинг, на свою «территорию»[85].

В-пятых, корпоративность управления как таковая немыслима без ее «утверждения» на всех уровнях управления или менеджмента, причем желательно доведение соответствующих идей до исполнителей как минимум на всех участках, критично важных для кредитной организации и выполнения ею своих обязательств перед клиентами, акционерами и различными органами контроля. В этом плане полезно, чтобы в «корпоративном духе» не только проводились вечеринки, приуроченные к знаменательным для организации датам, но и организовывалось информационное взаимодействие между подразделениями кредитной организации (тем более в многофилиальной системе), осуществлялось обучение персонала этой организации наряду с его переподготовкой при внедрении каждой ТЭБ, а также обеспечивалось эффективное управленческое наблюдение (на групповой основе). При этом, кстати, за рубежом считается полезным осведомлять работников не только об их функциональных обязанностях, но и о том ущербе, который они могут нанести организации и себе в случае допущения отклонений от установленных регламентов и моделей корпоративного поведения (в новых технологических условиях).

Очевидно, и практика изучения применения технологий электронного банкинга в кредитных организациях подтверждает это, что сама собой упомянутая выше модернизация произойти не может, так что вместе с принятием решения о переходе к ДБО клиентов в кредитной организации целесообразно принятие адекватных мер по адаптации прежде всего устоявшихся (в традиционных вариантах) внутрибанковских процессов управления и контроля к новым условиям банковской деятельности, которые в свою очередь обусловлены внедрением новых способов ее осуществления. Для этого (как, впрочем, и при внедрении любой новой информационной технологии начиная с так называемого «электронного документооборота») требуется разработка некой идеологии, принятой на уровне кредитной организации в целом и реализуемой ее органами управления, причем происходить это должно, вообще говоря, при каждом технологическом (и техническом) «перевооружении» этой организации независимо от его масштабов (даже если изменения кажутся не слишком значительными, чтобы об этом вообще задуматься). Надо отметить, что такие технологии, особенно в части ТЭБ и ППР, того стоят.

Важно подчеркнуть, что роль корпоративного управления в адаптации внутрибанковских процессов при внедрении ТЭБ двоякая: во-первых, собственно «корпоративность» должна проявляться в определении состава подлежащих модернизации процессов в их комплексе (на основе определения перекрестных связей, с помощью которых согласуются отдельные процедуры[86]), во-вторых, обеспечение согласованности адаптации возможно только централизованное, иначе проявятся все негативные характеристики 3-го уровня развития процессного подхода (зависимость результата от квалификации исполнителей в условиях неполного административного контроля). Сказанное относится к так называемым «линейкам подчиненности», которыми определяется доведение управленческих воздействий до исполнителей, но то же самое относится и к организации «линеек подотчетности», обеспечивающих контролируемость исполнения указаний — результатов этих воздействий. В условиях применения в кредитной организации сложных банковских информационных технологий, когда уровни многих компонентов банковских рисков прямо зависят от своевременности принятия и качества управленческих решений, их передачи по иерархии организации, равно как и от способности менеджмента проконтролировать их исполнение в форме специально организованных компьютеризованных процедур, решение таких вопросов целесообразно ставить «во главу угла» ввиду их принципиальной значимости[87].

В отсутствие официально принятого в кредитной организации (в связи с внедрением ТЭБ) методологического подхода, адекватного изменению ее бизнес-процессов, вновь внедряемые информационные технологии, помимо отсутствия предполагаемых выгод, могут неожиданно стать «головной болью» как для операционных и обеспечивающих подразделений кредитной организации, так и для ее руководителей. Необходимо отметить, что в ходе изучения применения технологий такого рода нередко приходится сталкиваться со своеобразным «руководящим мнением», что любая ТЭБ — это не более чем разновидность упоминавшегося электронного документооборота (или «транспорта» между кредитной организацией и ее клиентами, как уже отмечалось), и доля истины в этом, безусловно, есть. Однако наличие ИКБД, в котором реализуется такой документооборот, взаимная анонимность кредитной организации и клиентов ДБО и использование «высоких технологий» для обеспечения гарантий идентичности агентов информационного взаимодействия, аутентичности его содержания и верификации полномочий оказываются слишком серьезными факторами возникновения дополнительных источников компонентов банковских рисков, чтобы можно было занимать такую «безразличную» позицию в отношении применения этих технологий.

Важно осознавать, что перевод банковской деятельности в виртуальное пространство, сулящий кредитным организациям заметные выгоды, а их клиентам ни с чем не сравнимые удобства, требует принятия «грамотных» решений относительно формирования пруденциальных условий применения технологий и систем электронного банкинга, адекватных их сложности и специфике формируемого при этом ИКБД (с позиций управления и контроля). Для выработки таких решений требуется не только наличие специальной достаточно высокой квалификации (желательной и у менеджмента кредитной организации высшего звена), но и нетрадиционная организация подконтрольности и подотчетности в рамках типовых внутрибанковских процессов[88]. Следует отметить также, что эти процессы, оставаясь типовыми по своему существу, в условиях электронного банкинга приобретают многочисленные новые, нетипичные для традиционной банковской деятельности характеристики, как это будет показано в главе 5. Эти характеристики целесообразно определять для каждой ТЭБ и отражать во внутрибанковских документах начиная с тех, которые регламентируют процесс УБР.

4.1. Интерпретация принципов корпоративного управления в приложении к условиям применения электронного банкинга.

Интерес зарубежных органов банковского регулирования и надзора к проблематике собственно корпоративного управления наметился уже достаточно давно — разработки в этой области начались более десяти лет назад, однако активно использовавшиеся уже тогда варианты систем электронного банкинга в них не упоминались. Как ни странно, этой проблематике и до настоящего времени должного внимания не уделяется. Организация экономического сотрудничества и развития (ОЭСР) представила первый проект своих рекомендаций весной 1999 г., после чего в том же году аналогичные рекомендации разработал БКБН[89]. Затем, в 2004 г., ОЭСР был выпущен итоговый документ, содержащий описание базовых положений по корпоративному управлению[90] (эти материалы в дальнейшем послужили основой для серии аналогичных национальных западноевропейских и восточноазиатских разработок). В этих материалах определены направления, по которым может оцениваться состояние корпоративного управления, семантически совпадающие с рекомендациями, предложенными БКБН, из числа которых к рассматриваемой теме имеют непосредственное отношение следующие:

Распределение полномочий между органами управления;

Утверждение стратегии развития деятельности кредитной организации;

Контроль за реализацией этой деятельности;

Координация управления банковскими рисками;

Мониторинг системы внутреннего контроля.

К числу других направлений относятся:

— организация деятельности совета директоров (наблюдательного совета);

— предотвращение конфликта интересов участников;

— отношения с аффилированными лицами;

— определение правил и процедур, обеспечивающих соблюдение принципов профессиональной этики;

— координация раскрытия информации о кредитной организации.

Несмотря на то что содержание рекомендаций, предложенных.

Упомянутыми выше международными организациями, не вызывает сомнений, все же современные условия финансовой деятельности в целом и банковской деятельности в частности, во многом определяемые обеспечивающими их компьютерными информационными технологиями, требуют специфической детализации в части практического учета их особенностей и содержания адаптации организации корпоративного управления в новых условиях. Объясняется это тем, что, как уже подчеркивалось, обеспечение «пруденциальности» указанных условий требует от совета директоров и высшего руководства кредитной организации проявления совокупной квалификации, позволяющей ориентироваться в киберпространстве ИКБД, управлять процессами, которые в нем протекают, и контролировать их.

Во всех упоминавшихся материалах речь идет преимущественно о распределении функций, обязанностей и ответственности, прав и полномочий, общем содержании тех или иных внутрибанковских документов, ключевых внутрибанковских процессах, характеристиках ответственных лиц кредитных организаций и т. п. С административно-организационной точки зрения вопросы такого рода безусловно важны, ибо они описывают структурную основу банковской деятельности любой кредитной организации. Однако современные и перспективные условия реализации банковского обслуживания оказываются настолько сложны и специфичны, что одних только вопросов общего плана оказывается недостаточно. Теперь на передний план выходит конкретизация содержания процессов, процедур, обязанностей, ответственности, полномочий и т. п., реализуемых на практике. К слову сказать, сама практика как раз и свидетельствует о том, что зачастую правильные административно-организационные решения и положения сопутствующих им внутрибанковских документов на практике оказываются не более чем «декларациями о намерениях». Наиболее типичными примерами этого являются: распределение ответственности, не подкрепленное должными квалификационными требованиями, формально составленные документы (распорядительные, организационные, инструктивные и пр.), «разорванные» «линейки» подчиненности и подотчетности, недопустимая концентрация прав и полномочий, а также самое главное — отсутствие полноценного мониторинга внутрибанковских процессов, т. е. того, что БКБН определяет как «эффективный управленческий контроль»[91].

Усугубляется ситуация тем, что какие-либо конкретные рекомендации относительно организации и содержания корпоративного управления, реализуемого в кредитной организации, внедряющей ТЭБ, пока еще никем не разработаны. В то же время продолжается периодическое обновление зарубежными органами банковского регулирования и надзора своих материалов, посвященных принципиальным вопросам организации корпоративного управления в целом, и даются рекомендации по его совершенствованию. Одним из последних и, наконец-то, наиболее полноценным руководством такого рода явился документ под названием «Совершенствование корпоративного управления в банковских организациях», разработанный БКБН[92]. Этот документ используется здесь в качестве основы для интерпретации подходов к ведению банковского дела в киберпространстве с позиций анализа влияния особенностей вновь внедряемых технологий и систем электронного банкинга на бизнес-модели и внутрибанковские процессы в кредитных организациях.

В преамбуле к публикуемым рекомендациям БКБН разъясняет, что «практика эффективного корпоративного управления необходима для достижения и поддержания общественного доверия к банковской системе и уверенности в ней, что критично важно для должного функционирования банковского сектора и экономики в целом. Плохое корпоративное управление может привести к банкротству банков, что приведет к значительным потерям общества и последствиям ввиду их влияния на любые „жизнеспособные системы страхования вкладов“’ и возможности более обширных макроэкономических осложнений типа распространения риска[93] и воздействия на платежную систему. Кроме того, плохое корпоративное управление может привести к утрате уверенности рынка в возможностях банков должным образом управлять своими активами и пассивами, включая депозиты, что в свою очередь может спровоцировать отток вкладов или кризис ликвидности». Следует отметить, что такие характеристики, как «эффективное», «плохое», «должным образом», не поясняются, что свойственно материалам БКБН, который обычно не слишком заботится о точном определении понятийного аппарата.

Можно отметить тем не менее, что первое положение, учитывая трактовку его с позиций самой идеи ДБО, говорит по существу о необходимости поддержания доверия со стороны клиентов кредитных организаций к процессу именно дистанционного предоставления банковских услуг. Дискредитация такой идеи скорее всего нанесла бы непоправимый ущерб многим банковским учреждениям, учитывая уже понесенные и «договоренные» затраты на современные банковские технологии и их аппаратно-программное обеспечение (АПО). Это касается, кстати, и всех так называемых «частных платежных систем», которые получили чрезвычайное широкое распространение в последние два года (речь идет о разнообразных платежных терминалах и системах перевода денежных средств, фактически уже превратившихся в компонент российской финансовой системы). Второе приведенное положение комментариев не требует, а третье непосредственно связано с реализацией правового и операционного рисков. Следует отметить, что акцент на этих двух рисках для БКБН стал уже традиционным[94], хотя значимость остальных перечисленных в главе 2 банковских рисков, прямо связанных с административными, управленческими, технологическими и организационно-техническими причинами (угрозами), отрицать в российском банковском секторе на сегодняшний день невозможно.

В материалах БКБН говорится, что «предложенные ОЭСР принципы определяют корпоративное управление как включение [в него] совокупности отношений между менеджментом компании, ее советом, акционерами и другими заинтересованными лицами[95]. Корпоративное управление предоставляет структуру, через посредство которой устанавливаются цели компании, а также определяет средства достижения этих целей и мониторинга функционирования. Хорошее корпоративное управление должно обеспечивать должные стимулы для совета и менеджмента, чтобы достигались цели, представляющие интерес для компании и ее акционеров, а также способствовать эффективному мониторингу». Можно отметить явное несоответствие базового определения семантике самого понятия «управление», которое изначально представляет собой процесс, а поэтому никак не может являться какой-либо «совокупностью отношений». Впрочем, здесь важно подчеркнуть, что само наличие мониторинга, который в высокотехнологичной среде неизбежно должен быть не менее «технологичным», не так просто организовать (что будет показано ниже), причем для этого потребуется наличие весьма специфических знаний и опыта и у самого «совета», и у высшего менеджмента кредитной организации, и у подбираемых ими кадров.

Далее в преамбуле рассматриваемого документа заявлено, что «с позиций банковского сектора корпоративное управление включает способ управления деловой активностью и банковской деятельностью со стороны Совета директоров и высшего руководства, который влияет на то, как они:

— устанавливают корпоративные цели;

— осуществляют банковский бизнес на повседневной основе;

— выполняют обязательства в части подотчетности перед своими акционерами и учитывают интересы других правомочных заинтересованных лиц;

— обеспечивают соответствие корпоративной деятельности и поведения ожиданиям того, что банки будут работать безопасным и надежным образом в соответствии с действующим законодательством и правилами; а также.

— защищают интересы вкладчиков».

Надо сказать, что «корпоративные цели» кредитной организации, внедряющей ту или иную ТЭБ, как правило, непосредственно связаны с конкурентной средой и учетом пожеланий клиентов (об этом явно свидетельствуют данные социологических опросов). Что касается «повседневной» банковской деятельности, то в условиях применения ТЭБ это означает как минимум текущий мониторинг руководством кредитной организации реализации бизнес-плана и поддержания бизнес-моделью соответствующего варианта ДБО. Понятно, что то и другое может иметь место только в том случае, если органы управления кредитной организации понимают особенности ДБО (конкретной ТЭБ) и располагают адекватными средствами контроля, для чего им следует позаботиться о наличии таких средств еще до практического внедрения соответствующих систем, т. е. на стадии их проектирования либо, в случае сторонней разработки, принятия решения о приобретении такой СЭБ. В свою очередь это требует от представителей органов управления понимания технологических и технических особенностей функционирования ИКБД и системы, которую было решено внедрить для достижения стратегических целей кредитной организации (или наличия в руководстве кредитной организации некоего комитета, состоящего из специалистов необходимой квалификации).

Важным вопросом является учет интересов таких «заинтересованных лиц», как представители органа банковского надзора. Понятно, что в условиях применения ТЭБ, реализуемых в киберпространстве (которое по определению является виртуальным), кредитной организации придется позаботиться о гарантиях соответствия осуществления банковской деятельности установленным требованиям, которые она сможет представить таким лицам. При этом крайне желательно и создание условий для проведения при необходимости эффективной проверки этими (уполномоченными) лицами результатов применения ТЭБ в плане оценки того же соответствия. Надо сказать, что в этой ситуации, как и вообще при проверке функциональности автоматизированных систем, от всех взаимосвязанных участников такого процесса требуется демонстрация специальных знаний и квалификации начиная с разработки программ, методик и контрольных примеров для испытаний и кончая определением и оценкой свидетельств подтверждения заданной функциональности. Следует отметить, что сказанное в равной мере относится и к работе служб внутреннего контроля, обеспечения информационной безопасности и финансового мониторинга кредитной организации.

Обеспечение технологической надежности функционирования кредитных организаций, осуществляющих ДБО, в условиях открытых систем (например, через Интернет или мобильную связь), также является достаточно непростой задачей, особенно в части парирования возможного негативного влияния сопутствующих источников и факторов рисков. Совету директоров и высшему руководству кредитной организации, использующей ТЭБ, целесообразно заранее (на этапе принятия решений о переходе к ДБО) предусмотреть реализацию совокупности взаимосвязанных мероприятий, направленных на такое обеспечение. Для этого желательно иметь полное представление об особенностях возникновения и проявления источников и факторов риска, обусловленных работой в киберпространстве. Понятно, что даже в отсутствие официальной регламентации ничего страшного в применении ТЭБ в обеспечение банковской деятельности нет — при условии соблюдения элементарных правил здравого смысла и наличии необходимого минимума технических знаний. Тем не менее практика свидетельствует о том, что подавляющее большинство проблем в процессе ДБО возникает как раз из-за того, что о соблюдении правил такого рода органы управления кредитных организаций почему-то не задумываются. Следствием же этого становятся серьезные недостатки в организации внутрибанковских процессов и процедур, в содержании внутрибанковских распорядительных документов, порядков, положений, инструкций и т. п., а также в распределении функций, ответственности, обязанностей, прав и полномочий и т. д., равно как и в контроле над ними.

К этим проблемам тесно примыкает защита интересов вкладчиков, которые, как было отмечено выше, также входят в число «заинтересованных лиц». Впрочем, речь здесь должна была бы идти не только о тех клиентах кредитных организаций, которые связаны с ними именно договорами банковского вклада, но и обо всех лицах, которым требуются банковские услуги этих организаций (это важно с точки зрения содержания договоров на ДБО и внутрибанковских порядков, регламентирующих претензионную работу, где сложно найти соответствующие упоминания, поскольку акцент всегда делается на интересах самой кредитной организации). Таких лиц, понятно, намного больше, чем вкладчиков, вследствие чего и обязательства кредитных организаций оказываются существенно шире, особенно если учитывать многообразие возможных банковских услуг, реализуемых в рамках электронного банкинга, и вариантов ответственности кредитных организаций перед своими клиентами и органом банковского надзора. Корпоративность управления как раз и заключается в том, что гарантии выполнения этих обязательств следовало бы обеспечивать на всех уровнях менеджмента кредитных обязательств по всем «линейкам» подчиненности и подотчетности. Эти «линейки» сами подлежат адаптации вместе с внутрибанковскими процессами и процедурами, модифицируемыми при внедрении новых технологий банковского обслуживания в их жизненных циклах, за что отвечают, естественно, совет директоров и высшее руководство кредитной организации.

В завершение преамбулы рассматриваемого документа подчеркивается, что «практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается банк, или при необходимости принятия значимых корректирующих мер».

Очевидно, что при применении ТЭБ проблемные ситуации могут оказаться достаточно нетрадиционными и вообще связанными не только с самой кредитной организацией, но и с действиями ее удаленной клиентуры (которая весьма «охотно», например, создает инциденты информационной безопасности или делает ошибки при попытках осуществить банковские операции в рамках ДБО), а также с проблемами, которые могут иметь место на территории провайдера кредитной организации. В отношении таких ситуаций руководству кредитной организации целесообразно четко осознавать наличие тех или иных зависимостей банковской деятельности от третьих сторон, т. е. компаний, которые эту деятельность «всего лишь» обеспечивают. В большинстве случаев клиенты кредитной организации об этом обеспечении вряд ли догадываются, а поэтому, как показывает практика, все проблемы, связанные с выполнением обязательств сторонними организациями, задействованными в ИКБД, решать приходится сотрудникам самой этой организации (тот же второй, а то и первый уровень процессного подхода). В связи с изложенным уместно привести точку зрения Федеральной корпорации страхования депозитов США[96], выраженную в одном из руководств по оцениванию рисков, связанных с информационными системами: «Если финансовое учреждение взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, обслуживанием систем, администрированием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, связанных с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то его руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».

Эта формулировка имеет в известном отношении частный характер, но идея, заложенная в ней, понятна: за уровень обслуживания, обеспечиваемый провайдером, по американским канонам ответственность несет тот, кто его нанимает для оказания услуг кредитной организации.

В дополнение к сказанному следует заметить, что даже при заранее предусмотренной реорганизации корпоративного управления, которое, предположим, уже было реализовано в кредитной организации до внедрения очередной новой технологии ДБО, лицам, ответственным за управление рисками, все равно целесообразно осуществлять комплексный анализ возможного смещения профиля риска. Это обусловлено тем, что любая новая, тем более, возможно, не до конца изученная технология при всех своих достоинствах может преподнести малоприятные сюрпризы. К примеру, внедрение банковского обслуживания через Интернет может оказаться для кредитной организации чрезвычайно выгодным, только если ею приняты все меры:

— для гарантированной идентификации клиентов кредитной организации, которые приобретают известную анонимность (как и при любом ДБО);

— достоверной аутентификации информационных сообщений, поступающих из внешнего мира и ассоциируемых с легитимными клиентами;

— полноценного обеспечения информационной безопасности БАС, учитывающего угрозы сетевых атак[97];

— эффективной фильтрации входящего трафика ордеров клиентов вместе с реализацией специфических функций финансового мониторинга;

— обеспечения надежности ДБО с учетом форс-мажорных обстоятельств, в том числе связанных с работой провайдеров кредитной организации и т. п., помимо перечисленных самоочевидных положений.

Очевидно, что эффективное корпоративное управление в оптимальном варианте учитывает все особенности технологий и систем ДБО, которые требуют наличия специальных знаний у представителей как Совета директоров кредитной организации, так и ее высшего руководства (в терминах БКБН). В противном случае инициировать организацию новых внутрибанковских процессов в кредитной организации и адаптацию уже действующих окажется практически некому, если только не найдутся энтузиасты-исполнители.

В самом начале рассматриваемого документа акцентировалась необходимость обеспечения «эффективного корпоративного управления» (п. 8). Поскольку в анализируемом тексте определение этого понятия, т. е. того, какое именно корпоративное управление может считаться эффективным, отсутствует, логично предложить его интерпретацию исходя из описаний недостатков, которые свойственны наблюдаемым реалиям. Прежде всего это касается собственно перехода кредитной организации к обслуживанию клиентов посредством электронного банкинга начиная с возникновения первичных идей и предпосылок, относящихся к развитию банковского бизнеса в современных конкурентных условиях, продолжая адаптацией внутрибанковских процессов и заканчивая созданием пруденциальных условий применения технологий и автоматизированных систем такого рода. Изучение того, каким образом нередко подготавливается такой переход, свидетельствует, что во многих случаях итоговые решения, после которых «запускается» процесс внедрения тех или иных ТЭБ, принимаются если и не совсем стохастически, то, во всяком случае, без должного обоснования. Понятие «должное» употреблено здесь в том смысле, который, как правило, закладывает в свои документы БКБН. Здесь речь идет о целесообразности полноценного ТЭО при максимально возможном учете факторов, влияющих на содержание и качество банковской деятельности с учетом динамики рыночной конъюнктуры. В рассматриваемом документе, как отмечалось, говорится лишь о влиянии корпоративного управления:

На осуществление банковской деятельности на повседневной основе;

Выполнение обязательств в части подотчетности перед своими акционерами и другими лицами;

Обеспечение соответствия корпоративной деятельности и поведения ожиданиям того, что банк будет работать безопасным и надежным образом в соответствии с действующим законодательством и правилами.

Далее в анализируемом документе отмечается роль корпоративного управления в определении так называемых средств «мониторинга функционирования» [кредитной организации], который к тому же должен быть «эффективным» (п. 9). Понимание сложности ТЭБ, трактуемых как основа для осуществления современной банковской деятельности, вынуждает признать, что эффективным может считаться только такой мониторинг, который действительно позволяет контролировать функционирование кредитной организации как реального объекта, но через виртуальное пространство, с наличием всей информации, необходимой для принятия конструктивных решений относительно дальнейшего поддержания надежности банковской деятельности. В этом отношении остается только пожалеть, что БКБН не описал, помимо желательного распределения полномочий среди членов совета директоров, кто будет эти полномочия распределять. Это, как и в случае процессного подхода, тоже своего рода мета-уровень ответственности, которую могут нести только персоны с «недюжинным», т. е. двойным и тройным высшим образованием (а куда без него денешься в современной высокотехнологичной банковской сфере?!). Выполнение решений, кстати, необходимо контролировать, однако в условиях ТЭБ соответствующие процедуры основываются на компьютерных технологиях, и это неизбежно.

Давно известно, что сложность контролирующих систем может от двух до десяти раз превышать сложность систем контролируемых. Понятно, что кредитные организации не могут позволить себе такую роскошь, поэтому и система внутреннего контроля во многих кредитных организациях в отношении современных информационных технологий зачастую «так себе» и решение многих, особенно технологических и технических вопросов остается «на доверии». О выполнении же упоминавшегося принципа «четырех глаз» как при принятии решений, так и при осуществлении контроля нередко просто не приходится говорить, потому что даже при наличии этих «глаз» их квалификация (а это — главное!) ни в коей мере не адекватна сложности информационных технологий, применяемых кредитными организациями. Возникает логичный вопрос, а на чем в таком случае будет основана уверенность органов управления этих организаций в том, что все идет «как надо»? Какие гарантии именно руководство кредитной организации сможет дать ее клиентам и контролирующим органам? И вообще, так сказать, «кто охраняет часового» в современных условиях банковской деятельности и в ней самой?

Надо отметить, справедливости ради, что в других своих материалах БКБН постулирует необходимость проведения тщательного предварительного анализа новых банковских продуктов и видов деятельности, который позволил бы гарантировать понимание характера связанных с ними рисков и возможности его учета в процессе управления рисками. При этом еще до введения нового продукта руководству кредитных организаций предлагается утвердить адекватные функциональные инструкции и адаптировать систему управления рисками. Одновременно подчеркивается важность различения руководством кредитных организаций рисков, присущих новым продуктам и операциям, и учета их в соответствующих внутрибанковских инструкциях и системе контроля. Причем указывается, что нововведения, связанные с хеджированием рисков или управлением ими, следует заблаговременно рассматривать правлению кредитной организации или специально созданному им комитету. Следует заметить, что БКБН во многих своих материалах делает акцент на создании различных комитетов в высших органах управления кредитных организаций, особенно в ситуациях, связанных с потенциальными смещениями профилей банковских рисков (а это происходит практически всегда при внедрении ТЭБ). В то же время вопросы ответственности за правильный состав и выбор специалистов в таких комитетах, особенно когда речь идет о высоких технологиях, как правило, не обсуждаются и конкретные рекомендации не приводятся.

Из приведенных выше положений изначально следует то, что на всех иерархических уровнях управления в организации целесообразна преемственность, рассматриваемая как с позиций соответствия текущей и перспективной банковской деятельности принятой в кредитной организации «политике» (любимый термин БКБН), так и в плане обеспечения требуемой квалификации персонала, ответственного за успех этой деятельности. Это в свою очередь предполагает наличие на каждом из уровней менеджмента специалиста такой квалификации, которая позволяет ему подбирать подходящих специалистов следующего, более низкого уровня. А те уже в свою очередь должны обладать способностями, позволяющими эффективно работать с вновь внедряемыми технологиями и реализующими их системами и т. д. Тем самым обеспечивается преемственность на каждом из уровней менеджмента по всем формируемым в кредитной организации иерархическим «линиям» распределения обязанностей/ответственности и подчиненности/подотчетности, а значит, создаются и гарантии выполнения кредитной организацией принятых на себя обязательств.

Что касается эффективности системы корпоративного управления, то она определяется гарантиями достижения установленных в организации бизнес-целей на каждом из уровней менеджмента. Это в свою очередь зависит от того, насколько успешно адаптированы указанные линии к новым условиям наряду с внутрибанковскими процессами и процедурами. В любом случае при внедрении сложных банковских компьютерных технологий, способных внести серьезные изменения в ее бизнес-модели, необходимо задуматься, как минимум, о переподготовке персонала и о том, кем будут определяться состав и содержание соответствующих учебных курсов (иначе об «эффективности» говорить не придется), или же о целесообразности приема на работу специалистов, имеющих необходимую квалификацию. То и другое, на взгляд автора, неплохо иллюстрируется карикатурой, приведенной на рис. 4.1 (см. сайт www.саrtооnbаnк.соm). Понятно, что на каждом уровне менеджмента и на конкретную исполнительскую должность необходимо «помещать» специалиста минимально необходимой, а лучше более высокой квалификации. В условиях внедрения в кредитной организации новой ТЭБ решение этой кадровой проблемы становится непростой задачей.

Применение технологий электронного банкинга: риск-ориентированный подход

Таким образом, как и раньше, в высокотехнологичной среде «кадры решают все»; однако не только в рассмотренной части, поскольку в анализируемом документе БКБН фигурируют также понятия «надежное корпоративное управление» и «эффективное наблюдение» («естественно», не определенные в тексте документа). Эти понятия введены в связи с кратким упоминанием позиции органа банковского надзора (п. 11), который «чрезвычайно заинтересован в надежном корпоративном управлении, поскольку оно является необходимым компонентом безопасного и надежного функционирования банка и может влиять на профиль риска в случае ненадлежащей его реализации. Ввиду того что функции Совета директоров и высшего руководства в части определения политики, реализации политики и мониторинга соответствия требованиям являются ключевыми элементами функций контроля над банком, эффективное наблюдение над деятельностью и сделками банка со стороны его Совета и высшего руководства содействует поддержанию эффективной и рентабельной системы надзора. Надежное корпоративное управление содействует также защите вкладчиков кредитной организации и позволяет органу банковского надзора в большей степени полагаться на внутрибанковские процессы управления банковскими рисками и внутреннего контроля. Более того, практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается кредитная организация, или при необходимости принятия значимых корректирующих мер, поскольку надзор может потребовать от Совета директоров его существенного вовлечения в поиск решений и контроль реализации корректирующих мер».

Первое из двух упомянутых и необходимых для интерпретации базовых понятий, относящихся к «надежности», можно связать с наличием в системе менеджмента кредитной организации обоснованных гарантий такого выполнения функций, установленных на каждом из его иерархических уровней, или, иначе, должностных обязанностей, которое в свою очередь обеспечивало бы выполнение всей организацией своих обязательств перед клиентами и контролирующими органами. Для этого такие обязанности, равно как и квалификационные требования, должны соответствовать конкретным операционным функциям, предусмотренным на технологических участках во вновь вводимой СЭБ. Это относится не только к повседневной деятельности специалистов кредитной организации, но и к действиям в условиях возможных чрезвычайных ситуаций, которые следует предусматривать и оформлять в виде плана действий на случай таких обстоятельств. К сожалению, практика свидетельствует о том, что до этих важнейших аспектов банковской деятельности корпоративность отечественного банковского управления не всегда «дотягивает». Упоминавшийся разрыв между восприятием содержания банковской деятельности и осознанием новых форм ее осуществления посредством технологий и систем электронного банкинга проявляет себя и здесь, из-за чего ответственность за операционные функции часто «делегируется» самим исполнителям, которые, мало того, еще и сами себя контролируют (второй уровень процессного подхода).

Другое понятие, связанное с результативностью наблюдения, также имеет прямое отношение как к квалификации менеджеров разного уровня, так и к структуре кредитной организации и отдельных ее подразделений, так или иначе имеющих отношение к применению ТЭБ. Под эффективным наблюдением можно понимать лишь такой контроль, при котором полностью осознаются и учитываются системные взаимосвязи отдельных процедур, входящих в состав, возможно, разных внутрибанковских процессов.

На практике руководители перечисленных выше служб нередко не получают всех необходимых для адаптации реализуемых процедур указаний от курирующих вице-президентов или аналогичных должностных лиц кредитных организаций. Достаточно часто встречаются ситуации, когда даже в документарное обеспечение этих подразделений не вносится никаких изменений и дополнений несмотря на то, что кредитная организация внедряет одну систему ДБО за другой (как правило, это две и более системы интернет-банкинга, ориентированные на разную клиентуру или работающие через разные информационные контуры, системы интернет-трейдинга, мобильного банкинга, банкоматов и т. п.). Очевидно, что в подобных ситуациях ни о каком корпоративном управлении говорить не приходится, что бы при этом ни декларировалось кредитной организацией.

Вместе с тем не менее очевидно, что в условиях применения нескольких систем ДБО целесообразно использовать комплексный подход к организации деятельности перечисленных выше служб, а такая комплексность заведомо является прерогативой высших органов управления кредитной организацией, что, кстати, также постулируется БКБН. Фактически речь идет о принятии согласованных решений относительно одновременного внесения изменений в работу не одной, но ряда служб кредитной организации, что обусловлено именно радикальными изменениями в способах и условиях банковского обслуживания, привносимых ТЭБ, и мысль об этом упорядочении должна по идее стать превалирующей для этих органов управления.

Прежде всего такие изменения касаются работы службы автоматизации (информатизации) кредитной организации, которой неизбежно потребуется осознание особенностей нового ИКБД и к тому же обладание новой квалификацией в связи с внедрением новой для нее ТЭБ. Это может быть связано с возникновением необходимости изменения конфигурации внутрибанковской вычислительной сети (локальной или зональной), включая внедрение новых серверных мощностей для обслуживания расширяющейся клиентской базы и обработки направляемых клиентами ордеров. Это в свою очередь означает выделение дополнительного финансирования (а поскольку такое финансирование часто осуществляется по остаточному принципу, то потребуется еще и доказательная база, а доказывать надо известно кому — «корпоративным управляющим» и главному бухгалтеру); далее идут выбор поставщиков аппаратно-программного обеспечения, заключение контрактов, поставки, испытания, опытная эксплуатация и т. д. В то же время сама кредитная организация заинтересована в том, чтобы независимо от того, какие именно новые технологии внедряются, они не оказали негативного влияния на ее функционирование и опять-таки на выполнение взятых на себя обязательств перед клиентами и контролирующими органами.

При организации бизнес-процессов основными факторами надежности функционирования кредитной организации становятся именно программно-алгоритмическое обеспечение и обслуживание банковских автоматизированных систем и систем электронного банкинга. Этот постулат не является «открытием», но он приведен здесь потому что от этих факторов прямо зависит целостность клиентских и банковских данных и доступность банковского обслуживания. Под целостностью здесь уместно понимать соответствие информации установленным требованиям и невозможность ее несанкционированного изменения (искажения), а под доступностью — наличие возможности получения доступа авторизованными пользователями к требуемому им АПО — автоматизированным системам и приложениям (прикладным программам). Вопросы доступности сервисов кредитной организации и целостности передаваемых, обрабатываемых и хранимых банковских и клиентских данных в условиях ДБО становятся актуальными и для самой организации, и для ее клиентов, а следовательно, АПО БАС и СЭБ должны быть организованы таким образом, чтобы не оставалось незакрытых «дыр» в информационном обеспечении претензионной работы, финансового мониторинга, а также контролирующих, правоохранительных и судебных органов.

Следом за этим новая квалификация потребуется и службе внутреннего контроля, поскольку появятся новые (и не самые простые) подлежащие контролю процедуры. При этом возникают новые информационные сечения в БАС и (или) между нею и каждой СЭБ, новые информационные потоки, которые тоже необходимо контролировать, дополнительные массивы банковских и клиентских данных (начиная с бухгалтерского учета и заканчивая финансовым мониторингом, для которого установлен специальный набор правил и программ[98]), равно как и новые формы банковской отчетности (внутренней и внешней, например, по форме 0409251). С точки зрения финансового мониторинга условия ДБО специфичны в первую очередь тем, что кредитная организация не всегда может быть уверена в том, что работает с официально зарегистрированным ею, легитимным клиентом (поскольку возникает непростая проблема обнаружения передачи средств (т. е. прав и полномочий) доступа к банковским счетам и управления ими при совершении противоправных действий, например финансовых преступлений). Следовательно, должен однозначно решаться вопрос: доступность для кого? Банк России, кстати, в свое время обратил на это внимание, выпустив соответствующие документы: Положение Банка России от 19 августа 2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Положение 262-П) и Письмо Банка России от 30 августа 2006 г. № 115-Т «Об исполнении Федерального закона „О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма“ в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)». В свою очередь клиент не всегда может быть уверен в том, что он действительно работает со «своим банком» (это проблема обнаружения, к примеру, «фишинга» и предотвращения соответствующих негативных для клиентов последствий).

Кроме того, добавляются вопросы пруденциальной организации взаимоотношений с провайдерами, входящими в ИКБД, которых тоже желательно контролировать с позиций обеспечения непрерывности процессинга, финансового состояния, доступности систем ДБО и т. п. Этот факт свидетельствует о целесообразности разработки и внедрения нового внутрибанковского процесса, в котором должны участвовать несколько структурных подразделений кредитной организации: информатизации, внутреннего контроля, информационной безопасности, правового обеспечения и т. д.

Если говорить конкретно об обеспечении информационной безопасности, то с ним возникает наибольшее количество проблемных вопросов, обусловленных возникновением того же ИКБД, следствием чего оказываются прежде всего расширение периметра информационной безопасности и возникновение новых зон концентрации источников рисков, а также расширение некоторых зон ответственности кредитной организации (хотя есть и другие аспекты). Необходимо отметить, что «сводить» решение всех проблем ДБО в рамках комплексного подхода с учетом вопросов информационной безопасности (в совокупности, кстати, с тем же внутренним контролем, проверяющим, как с ней обстоят дела) все равно приходится высшему руководству кредитной организации. Само «комплексирование» такого рода представляет собой отдельную задачу охватывающую синхронное видоизменение сразу нескольких внутрибанковских процессов с позиций обеспечения информационной безопасности кредитной организации, электронного банкинга и ее клиентов. Конечно, с внедрением ТЭБ ничего страшного не происходит при условии принятия грамотных и адекватных ситуации решений, но их еще надо принять, и обоснованно.

Специальное внимание целесообразно уделить также работе юридической службы кредитной организации, ведь отношения организации с клиентами в условиях ДБО меняются радикально. С одной стороны, целесообразно предусмотреть в текстах договоров с клиентами положения, которые взаимно обезопасили бы обе стороны от возможных конфликтных ситуаций, которые могут возникнуть в связи с отмечавшейся взаимной анонимностью. Следует подчеркнуть, что это не такая простая проблема, как может показаться, ввиду ряда сопутствующих негативных факторов. Типичными примерами являются обеспечение невозможности отказа от операции (взаимной), т. е. придание операции бесспорного характера в условиях документарного обмена в электронной форме, и распределение ответственности между сторонами в ситуациях прерывания обслуживания, как минимум, между кредитной организацией и каким-то провайдером. Есть еще и проблема противоправного использования ТЭБ за счет анонимности сторон, связанной с удаленностью.

Эти соображения в свою очередь обусловливают весьма внимательное отношение к содержанию договоров на ДБО, заключаемых кредитной организацией и с клиентами, и с провайдерами, а также процедурам финансового мониторинга. Поэтому специалистам юридической службы кредитной организации также уместно разбираться в технологических и даже, пожалуй, в технических вопросах, и такой квалификацией лучше обладать заранее, до того как клиент, совершивший ошибку или пострадавший от действий хакера, предъявит претензии по поводу пропавших денежных средств или сама кредитная организация окажется втянута через ДБО в аферу. При организации правовой поддержки ДБО и комплайенс-контроля полезно учитывать также дефицит специальной квалификации в области информационных технологий у лиц, принимающих судебные решения, и не очень богатую арбитражную практику. Кстати, в договорах на ДБО часто фигурируют упоминания о создании специальных комиссий, разбирающих конфликтные ситуации, но о требованиях к их составу, порядку формирования и работы, итоговым документам и их юридической силе и т. п. в этих документах нередко ничего не говорится. Все перечисленное свидетельствует о том, что руководству кредитной организации надо преодолеть «квалификационный разрыв» на стыке разных дисциплин, и это — еще один негативный фактор, препятствующий достижению «истинной» корпоративности управления.

Во избежание реализации описанных здесь сценариев развития угроз надежности банковской деятельности целесообразно еще до перехода к практическому использованию ДБО и обслуживанию (не только представителей персонала кредитной организации, с чего часто начинаются пилотные проекты такого рода — своего рода этап бета-тестирования СЭБ) модернизировать организацию собственно принятия управленческих решений и контроля, корпоративного по своим принципам и масштабу. В литературе по этому вопросу оба этих процесса обычно объединяют в одно понятие «корпоративного управления», и хотя, с точки зрения автора, это не совсем корректно, в последующем изложении будет учитываться именно такой подход.

Для полноты картины, которая формируется анализируемым документом БКБН, следует упомянуть, что специальный раздел в нем посвящен роли надзорных органов, о чем руководителям кредитных организаций полезно иметь представление. В отношении этих контролирующих органов сформулированы и кратко поясняются шесть положений, которые, вероятно, также целесообразно учитывать совету директоров кредитной организации при формировании структуры корпоративного управления и распределении ответственности и обязанностей, подчиненности и подконтрольности. Каждое из таких положений начинается со слов «сотрудникам надзора следует», после которых формулируется содержательная часть описания функций этих сотрудников, а именно:

— обеспечивать наличие рекомендаций (руководства) для банков по надежному корпоративному управлению и его «проактивному»[99] внедрению;

— рассматривать корпоративное управление как элемент защиты вкладчиков;

— определять, насколько банк воспринял и эффективно реализовал политику и практику надежного корпоративного управления;

— оценивать качество функций аудита и контроля в банке;

— анализировать влияние групповой структуры банка;

— обращать внимание совета директоров и руководства банка на проблемы, которые были выявлены в процессе выполнения надзорных функций.

Рассмотрение этих положений выходит за рамки книги, хотя можно отметить, что совмещение в одном документе рекомендаций для кредитных организаций и для органа банковского надзора может, вероятно, способствовать улучшению взаимопонимания между контролируемыми организациями и, как обычно пишет в своих документах БКБН, «регулятором» банковской деятельности. Ниже предлагается описание установленных этим комитетом принципов корпоративного управления вместе с их интерпретацией в приложении к практическому применению кредитными организациями технологий электронного банкинга с риск-ориентированной точки зрения.

4.2. Особенности организации управления и контроля в условиях применения электронного банкинга.

Базельский комитет по банковскому надзору определил и прокомментировал следующие восемь принципов надежного корпоративного управления[100].

Принцип 1. Члены совета директоров должны быть квалифицированы для своих должностей, иметь ясное понимание своей роли в корпоративном управлении и быть способны выносить обоснованные суждения относительно деятельности банка.

В документе при этом подчеркивается, что «совет директоров является основным ответственным за операции и финансовую надежность своего банка», «банкам следует иметь адекватное количество и должную комбинацию директоров», и определяется ряд базовых требований к составу и содержанию деятельности руководящих органов кредитной организации. В современных условиях банковской деятельности (текущих и перспективных), т. е. в условиях применения технологий электронного банкинга осознание содержания ответственности и комбинация квалификаций директоров представляют собой наиважнейшие требования, которые акционерам кредитной организации и ее наблюдательному совету следовало бы изначально предъявлять к высшему руководству такой организации. Практика этой деятельности свидетельствует, что возникновение многих источников компонентов банковских рисков оказывается следствием недостаточной компетентности тех, кто в кредитной организации принимает решения (или, что, пожалуй, чаще соответствует действительности, поддерживает предложения) о внедрении ДБО (это, бывает, осознается слишком поздно).

Можно с уверенностью предположить, что в подавляющем большинстве случаев никаких сомнений относительно упомянутой в формулировке первого принципа «роли» в деятельности кредитной организации члены ее совета директоров не испытывают. Однако в части, касающейся вынесения суждений об этой деятельности, в современных условиях требуются специальная квалификация и известная подготовка в предметной области ДБО, если кредитная организация внедрила какую-либо ТЭБ. Дело в том, что в число вопросов, по которым необходимо принимать руководящие решения, входит определение нужных этой организации характеристик всех компонентов ИКБД, с которыми неизбежно придется иметь дело. Это относится и к специалистам кредитной организации, и к ее руководителям, потому что решения предлагаются обычно указанными специалистами, но оценивать и утверждать (или отклонять) их должны руководители. Главное, о чем при этом следует позаботиться — это об удержании уровней рассматривавшихся выше компонентов банковских рисков в допустимых пределах, причем заранее понимая, что действие новых компонентов (возникновения источников) этих рисков может оказаться априори неизвестным, непредсказуемым даже специалистами в области ИТ и обеспечения информационной безопасности.

Зарубежными органами банковского регулирования и надзора в последние годы регулярно публикуются все новые материалы, содержащие полезные рекомендации для органов управления кредитных организаций, применяющих новые, а иногда и довольно «экзотические» технологии ДБО. При этом предполагается, что детальная интерпретация в таких публикациях постулатов, гарантирующих «безрисковую» деятельность, остается прерогативой самих кредитных организаций, на руководство которых соответствующие документы и ориентированы, и, скорее, даже нецелесообразна. Вместе с тем практика изучения применения технологий электронного банкинга свидетельствует о том, что это — ошибочная позиция, из-за чего в том числе своего рода «плата за страх» в условиях применения таких технологий может оказаться слишком высокой (особенно когда клиенты кредитных организаций теряют суммы от сотен тысяч до десятков миллионов рублей). Кстати говоря, надо учитывать и негативное влияние традиционного наследия, о котором уже упоминалось: при внедрении ТЭБ стык гуманитарных (финансовых, экономических, юридических) и технических дисциплин (информатика, связь, информационная безопасность) не так легко сделать «безшовным».

Все упоминавшиеся ранее зоны концентрации источников банковских рисков и зоны ответственности кредитной организации в оптимальном варианте должны изучаться и анализироваться ее руководством (коль скоро именно по его решению клиентам этой организации предлагается ДБО), причем проводя четкие различия между этими зонами в ИКБД. Качество учета влияния этих зон и их характеристик[101] на деятельность и состояние кредитной организации зависит именно от осознания содержания ответственности и комбинации квалификаций ее директоров и высшего руководства, поэтому описываемые требования к этим лицам могут показаться завышенными, однако это — тоже неизбежная плата за риск.

Стратегический риск является первым из тех банковских рисков, которые реализуются вследствие недостаточной компетентности ответственных лиц, которые принимают решения относительно внедрения ТЭБ. Особенности же реализации таких решений могут оказаться завуалированными, скрытыми последствиями реализации типичных банковских рисков. Очевидно, что, принимая решение, скажем, о развертывании сети банкоматов, высшее руководство кредитной организации обязано предусмотреть все возможные первопричины и варианты реализации компонентов банковских рисков: нарушения работы АПО (самих банкоматов, БАС кредитной организации или процессингового центра), аварии линий связи, несвоевременное денежное подкрепление, отпуска ответственных лиц, аварии у провайдеров каналов связи, банкоматные мошенничества (включая появление новых программ-вирусов, с помощью которых совершаются хищения с карточных счетов клиентов) и многое другое вплоть до возможных «отказов в обслуживании» во время сильных морозов. Можно отметить, что эти «автоматические кассовые машины»[102] — технологически и технически не самый сложный вариант ДБО, хотя сам по себе далеко не простой (учитывая варианты аренды банкоматных сетей и управления ими через Интернет). В их АПО, кстати, основной акцент в последнее время делается кредитными организациями на развитии многофункционального банковского обслуживания, интегрирующего различные информационные технологии в интересах повышения эффективности и снижения рисков банковской деятельности. Совмещение кассовых, платежных, валютообменных, транзакционных и других операций в устройствах такого типа требует существенных изменений в подходе к выявлению, анализу, мониторингу компонентов типичных банковских рисков и управлению ими, которые должны находить отражение во внутрибанковском процессе УБР (в оптимальном варианте его организации).

В завершение анализа первого принципа корпоративного управления необходимо упомянуть о распределении обязанностей и ответственности в кредитной организации в части управления и в части контроля ТЭБ. Назначать на ответственные должности менеджеров высшего и среднего звена, равно как и на ключевые исполнительские, целесообразно сотрудников, обладающих знаниями и квалификацией, необходимыми для исполнения своих, зачастую сложных (поскольку сами ТЭБ такие) обязанностей. Понятно, что тот, кто осуществляет такие назначения, сам должен обладать квалификацией, достаточной для того, чтобы оценить квалификацию назначаемых сотрудников, причем до того, как они приступят к работе, а не после того, когда эта квалификация, вернее, ее отсутствие, проявит себя негативным образом. Соответственно и ролевые функции в части подбора персонала логично распределять на уровне высшего руководства с учетом профессиональных качеств каждого из его членов. Скорее, впрочем, наоборот: современное банковское дело — занятие весьма непростое и организационно, и технологически, и технически. Случайные люди вряд ли смогут заниматься им эффективно, имея в виду положительный эффект для клиентов кредитной организации, для нее самой и для контролирующих ее деятельность органов.

Принцип 2. Совету директоров следует утверждать и контролировать стратегические цели банка и корпоративные ценности, которые пропагандируются по всей банковской организации.

В комментариях к этому принципу акцент делается на том, что «совету директоров следует обеспечить внедрение высшим руководством стратегической политики и процедур, разработанных в интересах содействия профессионализму деятельности и целостности. Этому совету следует также гарантировать реализацию высшим руководством такой политики, которая запрещала бы (или должным образом ограничивала) деятельность, отношения или ситуации, которые могут ухудшить качество корпоративного управления». Упоминание о профессионализме более чем уместно в условиях применения ТЭБ кредитной организацией, но что это может или должно означать конкретно и что именно может негативно повлиять на качество корпоративного управления в этих условиях?! На такие вопросы не так легко найти ответы, как это может показаться при принятии решения о внедрении СЭБ.

Содержание понятия «корпоративные ценности» претерпевает расширение, тем более что негативное действие «человеческого фактора» никто не отменял, а в условиях применения ТЭБ это действие может оказаться завуалировано распределенными компьютерными системами и телекоммуникационными сетями, лежащими в основе реализации любой ТЭБ. Соответственно высшему руководству кредитной организации, вероятно, придется задумываться о том, насколько хорошо сможет оно контролировать приверженность этим ценностям специалистов в области компьютерных технологий (особенно уровня администраторов). Ситуация усугубляется тем, что деятельность таких специалистов в киберпространстве весьма далека от транспарентности, а отношение к таким сотрудникам нередко остается прежним, как к людям, говорящим на «птичьем языке». Тем самым, между прочим, демонстрируется «корпоративное непонимание» степени и серьезности зависимости кредитной организации и ее клиентов от компьютерных технологий.

Следует подчеркнуть, что значительная часть мероприятий, проводимых в обеспечение сохранения «корпоративных ценностей», обычно имеет запретительный или ограничительный характер. Поэтому руководству кредитных организаций приходится в новых условиях либо самому разрабатывать такие меры (а их неизбежно становится все больше и они становятся все «тоньше»), либо обращаться к специалистам, имеющим необходимую профессиональную подготовку. Если говорить о том, что в большинстве случаев причины «недостижения» стратегических целей связываются с некомпетентностью, халатностью и злым умыслом инсайдеров (персонала) кредитных организаций[103], то акцент делается на обеспечении гарантий информационной безопасности. Вследствие этого налагаются запреты на использование в кредитной организации мобильных носителей информации (флэш-карт, компакт-дисков, выносных накопителей на жестких дисках), доступ в Интернет в целом или отдельные его зоны, пользование устройствами мобильной компьютерной связи, подключение модемов, применение технологии виртуальных частных сетей (VРN) и т. п.

Это лишь еще один пример, а в общем случае если требуется обеспечить реализацию высшим руководством кредитной организации такой политики, которая должным образом ограничивала бы деятельность, отношения или принятие решений, которые могли бы снизить качество корпоративного управления, то необходим анализ конкретной формирующейся ситуации. Целесообразно понять, что это означает в конкретной кредитной организации, внедряющей определенную (и, возможно, заранее не очень хорошо изученную) ТЭБ и получающей вместе с ним некий ИКБД, простирающийся, возможно, до ее бэк-офиса. А самое главное — желательно отчетливо представлять себе, что именно может негативно повлиять на качество корпоративного управления в складывающихся условиях.

Принцип 3. Совету директоров следует устанавливать в организации четкую подчиненность и подотчетность и обеспечивать ее соблюдение.

В этой части постулируется, с одной стороны, то, что «эффективно действующие советы директоров четко определяют полномочия и распределение основной ответственности для себя, равно как и для высшего менеджмента. Они также понимают, что неопределенная подотчетность или же неясность, множественность иерархий ответственности может усугублять проблему из-за несвоевременных или ослабленных реакций». Очевидно, что для реализации первого положения члены совета директоров должны иметь отчетливое представление и об ответственности, и о полномочиях, которые касаются технологий, реализуемых в виртуальном пространстве. С другой стороны, постулируется, что «высшее руководство несет ответственность за делегирование полномочий персоналу и создание структуры менеджмента, которая способствует подотчетности, не теряя осознания обязательств менеджмента в отношении наблюдения за реализацией такой делегированной ответственности и его исключительной ответственности перед советом директоров за функционирование банка». Опять-таки, тот, кто делегирует ответственность (к тому же обремененную, по необходимости, изрядной квалификацией), должен, вероятно, иметь представление о тех полномочиях, которые он не формально (и документально зафиксировано!), а фактически передает, тем более что они реализуются хотя и в физическом, но отнюдь не в реальном, воспринимаемом органами чувств пространстве, и могут к тому же затрагивать разные уровни внутрибанковской иерархии и контроля.

Как показывает практика, внедрение новых банковских информационных технологий, таких как технологии электронного банкинга, может внести некий «сумбур» в налаженную банковскую жизнь. Как правило, специалистов, которые профессионально разбираются в этих технологиях, не хватает, что во многом объясняется попаданием в нашу страну таких технологий в основном из-за рубежа. Наблюдаются также активные попытки зарубежных компаний-разработчиков банковского программного обеспечения внедриться на российский рынок. Применение любой ТЭБ неизбежно связано с приобретением новой или совершенствованием имеющейся квалификации, вследствие чего задача распределения в кредитной организации ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности может оказаться достаточно непростой. Решать же ее, кроме высшего руководства этой организации, зачастую некому, если только не найдутся в ней энтузиасты, которые спасают ситуацию за счет личной инициативы. Однако, учитывая сложность ТЭБ, полагаться на энтузиазм и специалистов, которые, как нередко приходится слышать, «все знают, вот пусть и делают» — без точных указаний и бесконтрольно — дело рискованное, а наносимый в результате такой халатности ущерб зависит от того, в отношении каких именно массивов данных «сработает» человеческий фактор.

При недостатке понимания того, как функционируют внедряемые технологии и соответствующее АЛО СЭБ, многие компоненты рисков связаны с ошибками в упомянутом выше распределении. Как правило, недостатки в корпоративном управлении проявляются с начала внедрения ТЭБ. В оптимальном варианте руководство кредитной организации инициирует процесс разработки комплекта документарного обеспечения внедряемой ТЭБ (а это свидетельствует, что в его составе имеются лица, знающие о необходимости этого процесса и представляющие его содержание). К сожалению, до настоящего времени многое в области информационных технологий все еще делается, как говорят, «на коленях» и «с колес», что всегда приводит к реализации компонентов банковских рисков и соответственно финансовым потерям, причем о причинах этих потерь нередко даже не догадываются как раз те, кто должен был бы эти потери предотвратить.

Поскольку ТЭБ реализуются в виртуальном пространстве, еще на начальном этапе внедрения следует задуматься об их управляемости и контролируемости. Здесь распределение подчиненности и подотчетности целесообразно устанавливать таким образом, чтобы деятельность в этом пространстве ни в коем случае не зависела полностью от лиц, обладающих уникальными полномочиями в кредитной организации. Речь идет о повсеместно встречаемой чрезмерной концентрации полномочий в руках отдельных должностных лиц, чаще всего это администраторы различного назначения: системные, сетевые, информационной безопасности, баз данных и т. п. Членам высшего менеджмента кредитной организации целесообразно отчетливо понимать, что специалистами этого круга не так просто руководить, как, например, операционистами, деятельность которых ограничена функционалом интерфейса, с помощью которого они управляют банковскими платежными и другими технологическими процессами. Деятельность таких специалистов еще сложнее контролировать, особенно когда дело касается банковских информационных технологических процессов. Членам совета директоров целесообразно иметь отчетливое представление о том, возможно ли осуществление каких-либо несанкционированных действий с помощью ТЭБ (к примеру, в оказавшихся неподконтрольными информационных сечениях автоматизированных систем), а также о том, чем именно гарантируются полнота и целостность информации, получаемой для оценки финансовых результатов деятельности кредитной организации и в последующем служащей для принятия руководящих решений.

Делегирование ответственности в виртуальном пространстве, реализация которой требует незаурядной квалификации, стало в современном компьютерном мире серьезной проблемой двойственного характера, поскольку необходимо не только определить и распределить права и полномочия, но и обеспечить эффективный контроль за их использованием. ТЭБ принципиально осложняют ситуацию тем, что указанное распределение само оказывается распределенным: руководству кредитной организации целесообразно четко осознавать (и фиксировать это осознание во внутрибанковских документах), какие именно полномочия она «выпускает из рук», полагаясь на клиентов и провайдеров, а также какие средства компенсации утраты полного контроля за их деятельностью (хеджирования сопутствующих компонентов рисков) имеются в ее распоряжении.

Принцип 4. Совету директоров следует обеспечивать наличие должного наблюдения со стороны высшего руководства, согласующегося с политикой совета.

В комментарии к этому принципу отмечается, что «членам совета директоров и высшего руководства, отвечающим за повседневное наблюдение над менеджментом в банке, следует обладать должной квалификацией, которая обеспечит управление назначенной им деловой активностью равно как и требуемый контроль над ключевыми исполнителями по данному направлению». Это положение имеет принципиальное значение при работе в высокотехнологичной среде, поскольку речь в этом случае идет о контроле над работой профессионалов в области компьютерных технологий, как правило, весьма высокой квалификации. Понятно, что для роста квалификации всегда существуют какие-то пределы, так что в ситуациях применения распределенных компьютерных систем необходимо известное усложнение структуры самого контроля как плата за невозможность «объять необъятное» и обеспечение совокупной квалификации.

В этом принципе заложены очень важные идеи преемственности и обеспечения ее на разных уровнях иерархии кредитной организации. В то же время упоминавшийся ранее разрыв между традиционным восприятием содержания банковской деятельности и новыми способами и условиями ее осуществления может и здесь сыграть негативную роль, приводя к нарушению непрерывности и целостности корпоративного управления. Проблемы заключаются в том, что, во-первых, в условиях ТЭБ не так просто обеспечить это «должное наблюдение», о чем уже упоминалось выше, и, во-вторых, не так просто гарантировать адекватное понимание особенностей технологий и систем ДБО на разных уровнях иерархии в кредитной организации. Простейшим примером в этом случае может служить содержание должностных инструкций, которое варьируется на разных уровнях менеджмента и нередко радикально отличается от исполнительского уровня.

Опыт практического изучения этого, казалось бы достаточно «узкого» вопроса свидетельствует, что понимание того, каким образом можно обеспечить должное наблюдение со стороны высшего руководства в условиях применения ТЭБ, не является полным. Выражается это, в частности, в том, что должностные инструкции исполнительского уровня (например, специалистов, старших, ведущих, иногда главных специалистов), как правило, требуют знания настроек и функционирования совершенно конкретных, принятых или принимаемых «на вооружение» кредитной организацией программно-информационных комплексов (или, как иногда говорят, «программных продуктов»). Это могут быть комплексы самого разного назначения: операционного дня, ДБО, различных серверов (баз данных и других), брандмауэров, маршрутизаторов, телекоммуникационные и т. п. Также могут предъявляться требования знания определенных языков программирования, инструментальной среды систем управления базами данных и др. Таким образом, речь идет о достаточно узкой и во многом заранее известной квалификации и глубоких, детальных знаниях операционной среды банковской деятельности. В то же время в должностных инструкциях менеджеров разных уровней подобные положения встречаются нечасто, причем относится это к руководителям департаментов, управлений, отделов и их заместителям. Очевидно наличие почвы для нарушения целостности управления: на каких-то уровнях неизбежны разрывы в понимании того, что именно происходит в компьютерных системах, как этими процедурами управлять и, что, возможно, даже более важно, как контролировать происходящее.

Практически любой контроль в компьютерных системах обеспечивается за счет формирования и ведения специальных файлов: системных журналов (так называемых «логов») и аудиторских журналов («трейлов»). Специалисты очень хорошо понимают ценность таких файлов, особенно когда возникает необходимость в системных «откатах» и восстановлении данных и (или) процессинга из-за сбоев или ошибок, в расследовании инцидентов (в том числе информационной безопасности), возникновении ситуаций отказа от операции и т. п. Однако внедрить всю «линейку» подчиненности и подотчетности с тем, чтобы руководство кредитной организации могло получить как можно более полную управленческую информацию в любой момент времени, организовать соответствующие мероприятия в иерархии подчиненности и проконтролировать их выполнение с доведением до конкретных массивов банковских и клиентских данных, — это уже искусство корпоративного управления (к тому же если происходит все это в многофилиальной системе, в которой филиалы кредитной организации также осуществляют ДБО).

Принцип 5. Совету директоров и высшему руководству следует эффективно использовать результаты работы, выполняемой службой внутреннего аудита, внешними аудиторами и службой внутреннего контроля.

В связи с этим принципом подчеркивается, что «высшему руководству следует осознавать значимость эффективного внешнего и внутреннего аудита, а также контроля в обеспечении долгосрочной надежности банка». В этом отношении необходимо заметить, что, во-первых, квалификация аудиторов должна позволять им выполнять свою работу в высокотехнологичной среде, а во-вторых, учитывая не столь долгую практику аудиторской деятельности в России вообще, для выбора «подходящей» в конкретной ситуации аудиторской компании потребуется, вероятно, провести достаточно объемный анализ этого рынка услуг в поисках специалистов нужной квалификации. Понятно, что это «по силам» не каждой кредитной организации, так как для оценки уровня квалификации необходимо располагать сопоставимой суммой знаний — если не большей, то и не меньшей.

Вопросы осуществления внутреннего и внешнего аудита в связи с применением кредитными организациями ТЭБ до настоящего времени не прорабатывались ни в банковском сообществе, ни законодателями. Существуют отдельные рекомендации, разработанные БКБН и другими зарубежными органами банковского регулирования и надзора, но считать их адекватными с точки зрения осознания значимости этой проблематики пока еще преждевременно, хотя ряд российских кредитных организаций и дочерних организаций зарубежных коммерческих банков имеют опыт привлечения внешних аудиторов информационных технологий, но делают это «по личной инициативе» и без тщательной проработки программ таких проверок (на основе установленной методологии).

В последнее время все большую актуальность вместе с внедрением технологий электронного банкинга и связанных с их реализацией банковских автоматизированных систем приобретает также проблематика осуществления внутреннего контроля в кредитных организациях, использующих такие технологии[104]. Руководству кредитных организаций, внедряющих ТЭБ, целесообразно учитывать тот факт, что дело с этими технологиями «зашло далеко» и обратной дороги, скорее всего, нет. Поэтому настал момент «остановиться и оглянуться», оценивая состояние внутреннего контроля в первую очередь с позиций качества управления рисками (подробно эта тема будет рассмотрена в следующем разделе).

Принцип 6. Совету директоров следует обеспечивать соответствие политики и практики выплаты вознаграждения корпоративной культуре банка, долгосрочным ориентирам (целям) и стратегии, а также условиям контроля.

Этот принцип касается рассматриваемой тематики, пожалуй, только в части оплаты труда наиболее квалифицированных специалистов, непосредственно работающих с системами электронного банкинга: администраторов различных направлений, но он является весьма важным. В комментариях БКБН к этому принципу сказано, что, во-первых, «отсутствие связи между стимулирующим вознаграждением для членов совета директоров и высшего руководства и долгосрочной деловой стратегией может привести к действиям, противоречащим интересам банка и его акционеров…» и, во-вторых, что «совету директоров или специально назначенному комитету следует определить и установить вознаграждения для членов совета директоров и высшего руководства, соответствующие принятой политике компенсации, а также гарантировать, что такое вознаграждение соответствует культуре банка, долгосрочным целям и стратегии, условиям контроля». Приведенные комментарии вряд ли можно считать полными, и неполнота эта обусловлена, по-видимому, некоторой «удаленностью» специалистов БКБН от реальности.

В этом принципе логично было бы упомянуть тех специалистов, от которых реально зависит эффективное функционирование кредитной организации, а именно тех, кто управляет ее БАС и системами ДБО. Практически это означает целесообразность адекватной оплаты квалификации, т. е. создание условий «удержания» наиболее квалифицированных специалистов, непосредственно работающих с ТЭБ. Это относится в первую очередь к различным администраторам БАС и компонентов распределенных компьютерных систем, но не только к ним. Не секрет, что такие специалисты, безусловно, считают себя «самыми умными» (и иногда реально близки к этому состоянию), вследствие чего они нередко приходят к выводу о явно недостаточной оценке своего труда руководством кредитной организации. Это свойственно различным специалистам в области ИТ и их руководителям в структуре иерархии кредитных организаций, и может привести к проблемам.

В настоящее время уже отмечаются заметные миграционные процессы в банковском секторе, связанные не только с индивидуальными, но и с групповыми переходами «команд» специалистов ИТ из одной кредитной организации в другую. Вместе с собой эти люди уносят большие объемы знаний, причем не только специальных, но и о БАС и СЭБ той кредитной организации, которую покидают. Во многих публикациях в последнее время как в нашей стране, так и за рубежом обращается внимание на то, что при неблагоприятном стечении личных обстоятельств специалисты наиболее высокой квалификации способны нанести и наиболее серьезный ущерб интересам как самой кредитной организации, так и ее клиентов. Тот факт, что в рассматриваемом принципе БКБН речь идет только о членах совета директоров и высшего менеджмента кредитной организации, похоже, свидетельствует о том, что и в этом комитете не до конца осознают степень зависимости современной банковской деятельности от информационных технологий и реализующих эти технологии автоматизированных систем.

Принцип 7. Управление банком должно быть прозрачным.

Этот принцип касается в основном устранения конфликтов интересов и к рассматриваемой тематике не имеет прямого отношения. Тем не менее надо кратко отметить, что в одном из пунктов комментариев к этому принципу упоминается, что «желательно своевременное и точное раскрытие на общедоступных wеb-сайтах кредитной организации» сведений о ее структуре, правах собственности и внутрибанковской политике (просто в качестве дополнения к установленным формам публикуемой банковской отчетности сказанное не следует воспринимать как исчерпывающий перечень). При этом отмечалось, что раскрываемую информацию целесообразно соотносить с размером, сложностью, структурой собственности, экономической значимостью и профилем риска банка. Можно сделать замечания к этим положениям в том плане, что получение информации через Интернет в современном мире становится отнюдь не дополнительным, а одним из основных способов информирования для многих представителей общества. Поэтому, во-первых, значимость представительства в Интернете и его информационного контента трудно переоценить, а во-вторых, учитывая такую значимость, логично предположить, что вопросы организации, ведения и сопровождения задействуемых кредитной организацией wеb-сайтов, равно как и соответствующего контроля (включая определение содержания отношений с компаниями, которые могут отвечать за функционирование представительства кредитной организации в мировой Сети), также попадают в сферу интересов совета директоров и высшего руководства кредитных организаций.

Принцип 8. Совету директоров и высшему руководству следует понимать операционную структуру банка, включая и то, под какие юрисдикции подпадает банк в своей деятельности, или через посредство структур, препятствующих прозрачности (т. е. должен реализоваться принцип «знай свою структуру»).

Этот принцип — последний по порядку, но один из первых по значимости, впрочем, его присутствие вызывает некоторое удивление из-за своей самоочевидности: если совет директоров и высшее руководство кредитной организации не понимают ее операционной структуры, то вряд ли их можно считать реальными руководителями, да и продлиться такое «руководство» может недолго. Другое дело, что при применении ТЭБ эта структура может усложниться как за счет применения распределенных компьютерных систем, локальных и зональных вычислительных сетей, так и в случаях интернет- и мобильного банкинга — глобальных информационных сетей. Представить себе все информационные контуры банковской деятельности, которые возникают при множественном применении ТЭБ, а следовательно, и уязвимости кредитной организации и ее клиентов с точки зрения смещения профиля рисков может оказаться весьма затруднительно.

В отношении ИКБД можно акцентировать ряд вопросов, прежде всего возможное содержание работы кредитной организации через те или иные структуры, которые могут снижать прозрачность его деятельности. В приложении к ТЭБ это, как правило, различные провайдеры, которые осуществляют те или иные виды обслуживания (как, например, широко известная система Fасturа.ru) или процессинг и хранение банковских данных. Кроме того, во многих случаях ДБО кредитная организация неизбежно и с клиентами взаимодействует через провайдеров. То же самое относится к ситуациям, когда такая организация или ее подразделения работают через «другие юрисдикции», — в случае трансграничных операций и передачи банковских и клиентских данных. Во всех этих случаях руководству кредитной организации, как указывается в материалах БКБН, следует адаптировать функции, выполняемые службой внутреннего контроля, и управление рисками с учетом внешних факторов такого рода. Сюда же уместно добавить и некоторые аспекты осуществления финансового мониторинга, возникающие из-за известной анонимности ДБО (двусторонней). Поэтому к наращиванию «технологической базы» банковской деятельности целесообразно относиться с известной осторожностью, не внедряя новые технологии до тех пор, пока не будет достигнуто полное понимание их специфики.

Несмотря на объемность проведенного рассмотрения, на взгляд автора, к восьми рассмотренным принципам можно было бы обоснованно добавить еще два немаловажных, которые могут иметь прямое отношение к корпоративному управлению в условиях применения ТЭБ, а именно:

1) совету директоров и высшему руководству следует сознавать повышение значимости обеспечения информационной безопасности внутрибанковских процессов, процедур и массивов данных, обрабатываемых и хранимых кредитной организацией, в условиях применения технологий электронного банкинга;

2) совету директоров и высшему руководству следует четко видеть зависимость кредитной организации от сторонних организаций, не имеющих прямого отношения к банковской деятельности, но обеспечивающих ее осуществление (т. е. от провайдеров и вендоров).

На самом деле обеим этим проблемам БКБН уделял известное внимание в базовом материале, посвященном принципам управления рисками при электронном банкинге[105], и поскольку тогда значимость их подчеркивалась, несколько странно отсутствие упоминания о них в анализируемом документе. Внедрение новых технологий должно было бы приводить как к пересмотру политики обеспечения информационной безопасности, так и к дополнительному анализу ситуации, например, в плане принятия решения о необходимости разработки частных политик безопасности для каждой из систем ДБО. Кстати, что касается обеспечения информационной безопасности, то еще в одном из более ранних документов 1998 г. БКБН говорилось о необходимости распространения внутреннего контроля на его оценку в целом, однако в этой публикации этот вопрос не только не акцентирован, но и вообще опущен. Тем не менее он является принципиально важным, так как от качества обеспечения информационной безопасности в современных условиях (применения ТЭБ) может непосредственно зависеть «жизнеспособность» кредитной организации.

Принцип же, касающийся отношений с провайдерами, предполагает осознание зависимости кредитной организации от компаний, которые обеспечивают передачу, обработку, хранение массивов банковских данных или реализуют другие функции, переданные на аутсорсинг. Основное внимание здесь логично уделять при необходимости вариантам резервирования и оперативной смены провайдера, а также в предельном случае оперативного возврата выполнения переданных на аутсорсинг функций на свои «мощности» без прерывания операционной деятельности и выполнения своих обязательств перед клиентами. Последнее требует организации соответствующего планирования и тестирования планов такого рода на их реализуемость.

Адаптация корпоративного управления к условиям применения ТЭБ может показаться или оказаться достаточно трудоемким и аналитически сложным процессом. На самом деле ничего сверхсложного в создании пруденциальных условий применения любых банковских информационных технологий нет. Достаточно грамотно решать административные, организационные, технологические и технические вопросы в рамках полноценного и адекватного масштабам и сложности банковской деятельности корпоративного процесса. Тот факт, что вопросы корпоративного управления вышли сегодня на первый план в проблематике гарантировано эффективной банковской деятельности, свидетельствует и о том, что накопилась критическая масса проблем, попадающих в данную категорию, и о том, что необходим качественный скачок в организации внутрибанковских процессов и процедур для их решении, и о том, что невнимание к проблемам такого рода может оказаться серьезнейшим фактором риска для современных высокотехнологичных кредитных организаций.

Глава 5. Модернизация основных внутрибанковских процессов, связанных с электронным банкингом.

Главное — не бояться, что ничего не выйдет.

П. Коэльо. «Алхимик».

Процессный подход позволяет не только вычленить подлежащие модернизации внутрибанковские процессы, но и обеспечить согласование между самими процессами и отдельными составляющими их процедурами (чего в противном случае добиться нередко не удается). На основе понятия «жизненный цикл» к новым способам и условиям осуществления банковской деятельности целесообразно адаптировать как минимум следующие основные внутрибанковские процессы:

— документарного обеспечения;

— управления рисками банковской деятельности;

— применения ИТ (информатизации или автоматизации);

— обеспечения информационной безопасности (ОИБ);

— внутреннего контроля (ВК);

— финансового мониторинга (ФМ);

— юридического (правового) обеспечения.

— обслуживания клиентов (включая претензионную работу),

А также внедрить новый процесс и реализующие его процедуры, а именно: взаимоотношения с провайдерами.

В зависимости от специфики структуры, характера, масштаба деятельности кредитной организации этот перечень может быть дополнен. Ответственность за его определение и уточнение с течением времени и внедрением новых банковских информационных технологий лежит на совете директоров и высшем руководстве кредитной организации, переходящей к ДБО клиентов.

В современных условиях банковской деятельности своевременную (упреждающую) и адекватную адаптацию внутрибанковских процессов кредитной организации к изменениям в способах осуществления этой деятельности, вносимым технологиями электронного банкинга, целесообразно рассматривать как главное условие проактивного и эффективного парирования неконтролируемого смещения ее профиля риска. При этом важно подчеркнуть логику осуществления адаптации: после принятия решения о внедрении той или иной ТЭБ процессный подход вначале применяется к УБР, а затем, после определения требуемых для него новых или модифицированных процедур такого управления, — к остальным внутрибанковским процессам. Завершающим этапом следует считать проведение контрольных процедур по завершении адаптационных мероприятий на соответствие требованиям «усовершенствованного» таким образом УБР. Как правило, ЖЦ любого процесса в организации строится по четырехэтапной схеме, определяемой типовой последовательностью вида:

«создание —> внедрение —> контроль —> совершенствование».

На первом этапе определяются стратегические цели, которые предполагается достигнуть с помощью этого процесса, описываются его модель и структура, состав его характеристик и показателей, а также требуемое обеспечение. На втором этапе создаются условия для реализации процесса, информационно-технологическая инфраструктура, банковские автоматизированные системы (возможно, интегрируемые с уже действующими), выбираются провайдеры необходимых услуг и поставщики технического оборудования, распределяются ответственность и обязанности, проводится обучение персонала. На третьем этапе организуется сбор оперативной контрольной информации о выполнении процесса, набор статистики по показателям и характеристикам процесса и комплексный их анализ. На четвертом этапе проводится сопоставление существующего процесса с позиции «как есть» с его первоначальной моделью с тем, «как должно быть», оцениваются результаты анализа характеристик и показателей, после чего может быть принято решение о целесообразности модификации или модернизации процесса либо о его замене. То же самое происходит с формированием поддерживающих процесс условий и обеспечением его реализации, что имеет прямое отношение к применению технологий электронного банкинга.

Необходимо отметить, что, по мнению автора, любая «прогрессирующая» организация, независимо от того, кредитная она или нет, скорее всего придет к выводу о целесообразности рассмотрения процессов «разных уровней». Речь идет о том, что организация любых внутрибанковских процессов также представляет собой процесс, но более высокого уровня, своего рода «мета-процесс». А объясняется это как раз тем, что внедрение новых банковских технологий или технологий банковского обслуживания неизбежно приводит к потребности внесения изменений в уже существующие, налаженные и отлаженные внутрибанковские процессы. Точно так же, как и в рассмотренных выше направлениях деятельности, руководству кредитной организации целесообразно проработать содержание мета-процесса таким образом, чтобы он «срабатывал» одинаково эффективно в любом случае модернизации уже используемой ТЭБ или внедрения новой. Последний вариант является, естественно, более сложным, поскольку требует быстрой мобилизации достаточно больших объемов специальных знаний, наличие которых априори не гарантировано. Как видно из проведенного выше рассмотрения, речь идет о сходных совокупностях и последовательностях действий, выполняемых при любой модернизации — от внедрения в кредитной организации новой ТЭБ до модернизации (или замены) банковского аппаратно-программного обеспечения. Эффективность таких процедур будет гарантирована только в том случае, если персонал этой организации в сходных ситуациях будет выполнять заранее известные и «отработанные» действия.

5.1. Адаптация внутрибанковского документарного обеспечения.

Приведение содержания внутрибанковских документов в соответствие с новыми условиям функционирования кредитной организации и особенностями ДБО до настоящего времени представляет серьезную проблему обеспечения надежной банковской деятельности высокотехнологичных кредитных организаций прежде всего потому, что руководство многих таких организаций «не чувствует» необходимости в этом, а также из-за нехватки специалистов, способных такую адаптацию осуществить. Эта проблема типична для крупных кредитных организаций, которые имеют развитые ИТ и документарное обеспечение банковской деятельности, которое описывает в том числе как внутрибанковские процессы, так и связи между реализующими их структурными подразделениями. Содержание того и другого подлежит модернизации при внедрении первой же ТЭБ, а затем и других технологий такого рода. В то же время во многих документах БКБН, в которых рассматриваются меры по обеспечению этой надежности, акцент всегда делается на том, что при любых инновациях в первую очередь следует обеспечивать указанное соответствие, поскольку от этого прямо зависят качество работы персонала кредитной организации, использование ее автоматизированных систем и эффективность деятельности в целом: и то, и другое, и третье целесообразно рассматривать с позиций своевременной и адекватной оптимизации (до того, как начнет сказываться влияние неучтенных источников компонентов банковских рисков, наличием которых определяется «степень адекватности» УБР и других внутрибанковских процессов).

Своевременная и отвечающая новым формируемым условиям адаптация документарного обеспечения кредитной организации важна по многим причинам, начиная с разработки и доведения до персонала информации о внедрении новых информационных технологий, продолжая его переподготовкой в связи с использованием новой БАС и (или) СЭБ и заканчивая изменениями структуры самой организации, ротацией персонала и текучкой кадров. Главное здесь — гарантировать соответствие должностных инструкций и руководств пользователя (оператора, операциониста, клиента) порядкам и правилам эксплуатации банковских автоматизированных систем, включая этапы их сопровождения и модернизации.

В этой главе не предлагается радикально новое содержание внутрибанковских документов типа положений о структурных подразделениях кредитной организации, но перечисляются основные новые и содержательно модернизируемые функции, описания и порядок выполнения которых логично включать в такие положения в связи с внедрением кредитной организацией новой ТЭБ. Такие изменения, в общем случае, уместно «увязывать» с каждым фактом внедрения той или иной новой технологии, связанной с банковской деятельностью, равно как и возникновением новых угроз надежности банковской деятельности и компонентов типичных банковских рисков (описываемых в документах по УБР).

Изменения внутрибанковских порядков и условий реализации процессов, как подчеркивает БКБН, должны инициироваться советом директоров и высшим менеджментом кредитной организации. Соответственно внутренние документы, которыми регламентируется функционирование органов управления и (или) исполнительных органов кредитной организации, должны содержать положения об этой их ролевой функции и указание условий, в которых эта функция должна инициироваться и выполняться. Внедрение ТЭБ — тот самый случай, который «запускает» очередной виток ЖЦ документарного обеспечения банковской деятельности. Состав изменяемых внутрибанковских документов определяется приведенным выше перечнем внутрибанковских процессов, который целесообразно точно указывать в описаниях указанных функций, чтобы даже при радикальных изменениях в «высшем эшелоне» руководства с выполнением таких функций не возникало неясностей (в отечественной банковской практике зачастую наблюдается обратное). Все мероприятия (в оптимальном варианте) инициируются, сопровождаются и контролируются высшим менеджментом кредитной организации (этапы <-> результаты) и доводятся до ее совета директоров и наблюдательного совета (рис. 5.1).

Применение технологий электронного банкинга: риск-ориентированный подход

Кратко приведенную схему можно прокомментировать следующим образом. На этапе принятия базовых решений относительно внедрения ТЭБ следует (в соответствии с подходом БКБН) обеспечить:

— подготовку ТЭО и сопутствующих исходных данных на проект;

— коллегиальное принятие решений относительно варианта ТЭБ;

— сопоставление ДБО со стратегическими целями кредитной организации;

— определение необходимой ресурсной базы для реализации проекта СЭБ;

— подготовку проектной документации на СЭБ и ее интеграцию с БАС;

— согласование проекта с заинтересованными подразделениями;

— распределение ответственности и обязанностей в отношении проекта;

— привлечение к проекту персонала необходимой квалификации;

— полное документирование принятых решений по проекту;

— ознакомление с проектной документацией всех исполнителей.

Необходимо отметить, что принятые решения должны (опять-таки в оптимальном варианте организации работы) фиксироваться во всех иерархических «линейках» внутрибанковских документов: от распорядительных по характеру до должностных инструкций, предназначенных для ответственных исполнителей в кредитной организации (для этого целесообразно утвердить соответствующий распорядительный документ, который может и не быть акцентирован именно на ТЭБ и СЭБ, но «охватывать» и их применение). Только такой подход может в значительной степени гарантировать эффективность выполнения принятых решений и обеспечить требуемые функциональные характеристики автоматизированных систем (влияние человеческого фактора парируется эффективным «управленческим наблюдением» — в терминологии БКБН). При этом основные руководящие решения целесообразно обсуждать со специалистами, участвующими в перечисленных выше процессах, с точки зрения реализуемости и адекватности выполнения ими своих функций.

При таком подходе очередной виток ЖЦ документарного обеспечения банковской деятельности инициируется в кредитной организации еще до принятия решения о переходе к практической реализации проекта внедрения ТЭБ, поскольку без подготовительной работы не обойтись. При этом необходимо располагать перечнем входящих в его состав документов, первичное составление которого является наиболее трудоемким процессом, который несколько упрощается, если известен перечень подлежащих модернизации внутрибанковских процессов. Однако, какой бы сложной она ни казалась, удержать уровни банковских рисков в допустимых границах без ее решения крайне трудно (если вообще возможно), поскольку тогда негативное влияние человеческого фактора неизбежно.

Главное, что при этом целесообразно осознавать безусловное влияние любой ТЭБ на изменение состава и характера проявления многих источников компонентов банковских рисков, которые необходимо учитывать при организации УБР и для предотвращения которых существуют сами внутрибанковские процессы. Такое понимание в связи с переходом кредитной организации к ДБО на практике встречается редко. В то же время очевидно, что в отсутствие угроз надежности банковской деятельности, в безрисковой ситуации ни ОИБ, ни ФМ, ни ВК, ни другие внутрибанковские процессы не понадобились бы, тем не менее в банковской деятельности неизбежным и непростым связям между ними внимания уделяется незаслуженно мало (видимо потому, что реализующие их структурные подразделения кредитных организаций традиционно относят к так называемым «не зарабатывающим», не думая о том, что «зарабатывать» вообще позволяет именно эффективное парирование ими угроз, ассоциируемых с источниками тех самых компонентов).

Из сказанного можно сделать краткие выводы относительно изменений в характере и содержании упоминавшихся внутрибанковских процессов в кредитной организации, относящихся к осуществлению их регламентной циклической адаптации для приведения в соответствие тем условиям банковской деятельности, которые образуются с внедрением ТЭБ.

1. Для документарного обеспечения требуется составление документов более высокого, «общебанковского» уровня, в которых описывалась бы эта адаптация и указывались те внутрибанковские процессы и структурные подразделения кредитной организации, для которых разрабатывались бы новые редакции действующих документов. При этом на уровне мета-процесса предусматривается потенциальное возникновение необходимости в разработке новых, отсутствовавших до внедрения ТЭБ компонентов этого обеспечения.

2. Процесс УБР необходимо пересматривать ввиду появления большого числа не существовавших ранее источников компонентов банковских рисков, для воздействия на которые требуются новые процедуры, поддерживаемые рядом подразделений кредитной организации. На уровне мета-процесса формируются дополнительные схемы и механизмы взаимодействия между ними и предусматриваются дополнительные процедуры и функции в работе этих подразделений, ориентированные на подавление влияния таких источников.

3. Подразделение ИТ кредитной организации должно осваивать новую информационную технологию и СЭБ, реализующую внедряемую ТЭБ, обеспечивая то и другое в части аппаратно-программных средств (с учетом резервирования и ОИБ) и новой технической документации, включая руководства для клиентов ДБО и персонала подразделений организации. При этом учитывается необходимость повышения квалификации персонала, участие в составлении текстов договоров на ДБО и взаимодействия с провайдерами.

4. Служба ОИБ должна предусмотреть дополнительные меры по защите банковских автоматизированных систем кредитной организации и формированию ее периметра безопасности, включая внесение изменений в документы по ОИБ, внедрение соответствующего АЛО и разработку новых внутрибанковских документов, а также участие в составлении текстов договоров на ДБО и взаимодействии с провайдерами. Совместно со службами ИТ и ВК разрабатываются дополнительные программы и методики проверок ОИБ.

5. Служба ВК должна обеспечить наличие совокупной квалификации, необходимой для контроля использования и функционирования новой АС в кредитной организации, освоить внедряемую ТЭБ, разработать дополнительные программы и методики проверок, включая контроль процесса УБР, и формы отчетов для руководства, а совместно со службами ИТ и ОИБ — программы и методики проверок, контроля над провайдерами и SLА, планами действий на случай чрезвычайных обстоятельств, а также текстов договоров на ДБО.

6. Необходим учет особенностей электронного банкинга в документах кредитной организации, относящихся к ФМ или, как чаще говорят, «противодействию отмыванию денег и финансированию терроризма» (ПОД/ФТ)[106], равно как и модернизация самого этого процесса с участием служб ИТ, ВК, экономической безопасности и юридического обеспечения банковской деятельности. При этом предусматривается разработка новых процедур взаимодействия с клиентами в соответствии с требованиями Банка России.

7. Модернизация юридического обеспечения банковской деятельности кредитной организации должна охватывать приобретение новой квалификации, связанной с особенностями внедряемой ТЭБ, участие в составлении текстов договоров с клиентами ДБО и провайдерами, приведение внутрибанковского документарного обеспечения в соответствие с новыми условиями банковской деятельности, а комплайенс-контроля и претензионной работы — с применением СЭБ (совместно со службами ИТ, ОИБ и ВК/ФМ).

8. Необходимо совершенствование взаимодействия сервис-центра кредитной организации с клиентами ДБО за счет освоения его сотрудниками содержания и условий обеспечения нового направления банковской деятельности и формирования механизмов получения ими от других структурных подразделений информации о функционировании СЭБ в ее связи с БАС, а также дополнительного направления претензионной работы в связи с возможными спорными или конфликтными ситуациями, включая SLА с провайдерами.

9. Планы действий на случай чрезвычайных обстоятельств необходимо дополнить разделом, описывающим новые возможные угрозы надежности банковской деятельности, обусловленные форс-мажорными и другими ситуациями, которые могут привести к прерыванию ДБО, нарушению целостности, доступности или конфиденциальности банковских и клиентских данных, а также порядком восстановления функционирования СЭБ в ее связи с БАС кредитной организации, включая информирование клиентов об инцидентах.

10. Должно быть организовано взаимодействие с провайдерами с определением SIАh анализом в кредитной организации возникающих зависимостей, которые также следует описывать как в части управления сопутствующими компонентами банковских рисков, так и в части принятия мер по предупреждению их реализации и по резервированию аутсорсинга с учетом обеспечения возможностей перехода в чрезвычайных ситуациях на резервные средства и предоставления клиентам ДБО резервных вариантов взаимодействия.

Руководство успешной высокотехнологичной кредитной организации не может не осознавать значимости документарного обеспечения меняющейся, технологически и технически усложняющейся банковской деятельности. По существу, в ходе пересмотра содержания внутрибанковских документов и адаптации их к новым условиям руководством кредитной организации одновременно решаются задачи адаптации общебанковских процессов управления к применению новой банковской информационной технологии и контроля ее использования персоналом данной организации и ее клиентами, пользующимися ДБО. Важно подчеркнуть, кстати, что оценка уровней (качества) обоих этих процессов (менеджмента в целом) представителями контролирующих органов чаще и прежде всего основывается на результатах оценки степени соответствия документарного обеспечения кредитной организации содержанию, характеру и масштабам ее банковской деятельности. В интересах руководства такой организации для получения положительного «мотивированного заключения» относительно качества ее корпоративного управления (по результатам изучения организации ее деятельности) необходимо внимательно относиться к содержанию внутрибанковской документации, своевременно обновляя ее при внедрении очередной ТЭБ для ДБО.

5.2. Адаптация управления банковскими рисками.

Внедрение ТЭБ оказывается, как показывает практика, весьма нетривиальной задачей, которая хотя и имеет известные решения, но во многом отличается от базовой задачи автоматизации банковской деятельности, давно уже ставшей типовой, и обусловливается это во многом возникновением новых разновидностей компонентов банковских рисков. Основные проблемы при этом связаны не с внедрением каких-либо принципиально новых банковских автоматизированных систем, а с тем, что применение систем ДБО переводит предоставление банковских услуг в виртуальное пространство, скрывающее друг от друга кредитные организации и их клиентов, существующее лишь в отдельные кванты времени в конкретных электронных устройствах и линиях связи ИКБД и открывающее стороны их информационного взаимодействия для угроз, реализуемых через это пространство новыми, неизвестными ранее способами. Специфика этого пространства заключается и в его многообразии: Интернет, «эфир» (радиосвязь), кабельные соединения, компьютерные системы провайдеров кредитных организаций, входящих в ИКБД, и т. п. Несмотря на то что идея ДБО является общей для всех технологий такого рода, пока еще нельзя считать, что кредитные организации и их клиенты полностью осознают специфику разных вариантов реализации ДБО с учетом сопутствующих факторов риска и парирования их влияния.

Внедрение кредитной организацией любой ТЭБ и «выход» ее в мировую Сеть приводят к возникновению факторов риска, связанных с базовыми принципами, лежащими в основе применения открытых систем. Поэтому становятся необходимы анализ и оценка компонентов банковских рисков, принимаемых кредитной организацией в связи с использованием ДБО, адекватные сложности и особенностям каждой из таких технологий. Прежде всего требуется осознание того, что потоки данных, передаваемых, получаемых и хранимых в процессе банковской деятельности, представляют собой сведения о тех или иных информационных активах кредитной организации и об инструкциях, описывающих управление этими активами. Это означает, что виды угроз надежности банковской деятельности и способы их реализации радикально отличаются от своих аналогов в традиционной банковской деятельности (например, способы мошенничеств и хищения денежных средств, являющихся главным информационным активом современной кредитной организации, с помощью способов НСД, разновидностей сетевых атак и т. п.).

Все угрозы, ассоциируемые с ИКБД, должны учитываться при планировании, реализации и обеспечении внутрибанковских процессов и процедур; при этом целесообразно определять, какие из них являются внешними, а какие — внутренними, и приводить их описания в документах, регламентирующих процесс УБР и, возможно, процесс ОИБ (дублирование предпочтительнее, но тогда необходимо контролировать идентичность описаний). В число таких угроз входят мошенничества, вредительство, ошибки, сбои, отказы, аварии, катастрофы, НСД (проникновения и взломы) и т. п.

При оптимальном (с точки зрения автора) подходе к внедрению ТЭБ процесс УБР в кредитной организации необходимо пересматривать первым из всех внутрибанковских процессов, подлежащих адаптации. К сожалению, в российском банковском секторе этому процессу исторически не принято уделять серьезного внимания не только в связи с внедрением новых информационных технологий, но и, как показывает многолетнее практическое изучение организации банковской деятельности, независимо от каких бы то ни было информационных технологий вообще. Это и становится причиной непредвиденной реализации возникающих компонентов типичных банковских рисков, превентивный анализ возможностей возникновения которых не проводился перед вводом СЭБ в эксплуатацию (а лучше еще при выборе ТЭБ).

В то же время, как было показано в главе 2, методологию определения и анализа указанных компонентов до настоящего времени нельзя считать установившейся ни за рубежом, ни в нашей стране, а следовательно, отечественные кредитные организации вынуждены самостоятельно разрабатывать методические материалы для осуществления УБР на основе анализа принятой ими организации и условий банковской деятельности, вида ДБО, формирующегося ИКБД, АПО СЭБ, взаимодействия структурных подразделений и т. п. Результатом такого анализа становится (точнее, должно стать) определение зон концентрации источников компонентов банковских рисков для кредитной организации и ее клиентов и зон ее ответственности, что служит дополнением состава ролевых функций ее вышеперечисленных служб.

Поскольку указанные зоны заведомо не совпадают (руководство и специалисты кредитной организации не могут принимать меры, парирующие все угрозы, ассоциируемые со всеми источниками компонентов банковских рисков), необходимо четко определить, какие конкретно действия следует предпринимать в отношении угроз, источники которых находятся в пределах «досягаемости», а в отношении каких стоит принять меры хеджирования (предполагая возможное «понесение ущерба»). Такую классификацию было бы предпочтительно отразить в документах, относящихся к определению содержания процесса УБР, в сопоставлении с конкретными факторами возникновения источников компонентов банковских рисков. С некоторой долей условности ориентация внутрибанковских процессов управления и контроля показана на рис. 5.2, где для ДБО в варианте интернет-банкинга кружками отмечены основные зоны концентрации этих источников, а стрелками, направленными от «руководства» кредитной организации, — воздействия на эти источники в рамках УБР, применения ИТ, ОИБ, ВК и пр. (приведенная схема не полна: на ней не показаны почтовые сервера, демилитаризованные зоны (DМZ) и другие возможные элементы, но она вполне достаточна для иллюстрации последующего изложения; схема формирования DМZ будет приведена в параграфе 5.4).

Применение технологий электронного банкинга: риск-ориентированный подход

Для эффективного управления и достижения стратегической цели кредитной организацией, использующей технологии электронного банкинга, ее руководству необходима оценка уровней принимаемых ею банковских рисков, адекватная сложности и особенностям каждой из таких технологий, а также мониторинг этих уровней, которые должны удерживаться в допустимых для кредитной организации пределах, устанавливаемых ее внутренними документами, за счет процесса УБР, реализуемого посредством своевременных и адекватных действий ее высших исполнительных органов, менеджеров разных уровней и исполнителей по предотвращению возникновения и реализации источников компонентов типичных банковских рисков. Действия эти регламентируются внутрибанковскими документами (на основе того же анализа), которые описывают модифицированный процесс УБР и связанные с ним процедуры в составе других внутрибанковских процессов, адаптируемых к применению ТЭБ (каждой, включая перспективные) для ДБО.

При модернизации процесса УБР и адаптации его содержания необходимо помнить, что любая схема измерения и мониторинга риска хороша лишь настолько, насколько верна, надежна и устойчива заложенная в ней методология выявления, оценивания и анализа рисков, ассоциируемая с составом и вариантами ДБО. Поэтому и возникает весьма серьезная методологическая проблема, обусловленная тем, что разным архитектурам и составу банковских автоматизированных систем свойственны разные наборы факторов и подмножества источников компонентов банковских рисков. Следовательно, руководство кредитной организации сталкивается с необходимостью формирования некоего универсального подхода, позволяющего конкретизировать управление банковскими рисками по отдельным направлениям ее деятельности на основе единой (или обобщенной) риск-ориентированной методологии. Методологией такого рода, вернее, одним из наиболее «удачных» по состоянию на настоящее время ее компонентов (пока) является подход к определению содержания УБР, изложенный в работе БКБН, называемой «Принципы Управления Рисками для Электронного Банкинга»[107].

В этом достаточно обширном материале отмечено прежде всего, что: «Электронный банкинг… ведет к возникновению новых бизнес-моделей, в которых участвуют банки и небанковские организации…», при этом «…профиль риска у каждого банка свой и требует применения такого подхода к снижению влияния рисков, который соответствует масштабу операций в рамках электронного банкинга, реальному влиянию… рисков, а также готовности и способности конкретного учреждения управлять этими рисками».

В связи с этим в рассматриваемом материале определены так называемые «14 базовых принципов» для того, чтобы, как сказано, «помочь банкам распространить существующие в них процедуры наблюдения за рисками на деятельность в области электронного банкинга». Эти базовые принципы разделены на три тематические группы:

А. Наблюдение со стороны совета и руководства (принципы 1–3).

1. Эффективное наблюдение со стороны руководства за деятельностью в рамках электронного банкинга.

2. Организация полноценного процесса контроля безопасности.

3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

В. Средства обеспечения безопасности (принципы 4—10).

4. Аутентификация клиентов в операциях электронного банкинга.

5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках электронного банкинга.

6. Должные меры по обеспечению разделения обязанностей.

7. Необходимые средства авторизации в системах электронного банкинга, базах данных и прикладных программах.

8. Целостность данных в транзакциях электронного банкинга, записях и информации.

9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга.

10. Конфиденциальность важнейшей банковской информации.

С. Управление правовым и репутационным рисками (принципы 11–14).

11. Правильное раскрытие информации для обслуживания в рамках электронного банкинга.

12. Конфиденциальность клиентской информации.

13. Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках электронного банкинга.

14. Планирование реагирования на случайные события.

Надо отметить, что акцент только на два банковских риска не следует считать «хрестоматийным», поскольку он типичен только для стран Западной Европы в силу сложившихся там за более чем три столетия традиций ростовщичества (банковской деятельности); в российских условиях внимание необходимо уделять всем пяти упомянутым ранее банковским рискам.

Далее подробно рассматриваются принципы пруденциального осуществления УБР в условиях применения технологий электронного банкинга. Необходимо заметить, что первая группа принципов по существу устанавливает своего рода «квалификационные требования» к высшему руководству кредитных организаций, применяющих технологии электронного банкинга, или же их исполнительным органам.

Принцип 1. Совету директоров и высшему руководству следует установить эффективное управленческое наблюдение над рисками, связанными с деятельностью в рамках электронного банкинга, включая организацию специального учета, политики и средств контроля для управления этими рисками.

В комментариях к этому принципу подчеркивается, что «совету директоров и высшему руководству следует удостовериться в том, что их банк не включается в новый бизнес в сфере электронного банкинга или не внедряет новые технологии без наличия необходимых знаний для обеспечения компетентного наблюдения за управлением рисками. Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых данным банком технологий электронного банкинга и соответствующих приложений. Адекватная квалификация является принципиально важной независимо от того, находятся системы электронного банкинга и соответствующие варианты обслуживания под собственным управлением банка или эти функции переданы третьим сторонам. Процессы наблюдения со стороны высшего руководства следует осуществлять на динамической основе, чтобы обеспечивалось эффективное вмешательство и коррекция любых материальных проблем с системами электронного банкинга или недостатков в обеспечении безопасности[108], которые могут иметь место».

Также совету директоров и высшему руководству кредитной организации «следует убедиться в том, что организованные ими процессы управления рисками для деятельности в рамках электронного банкинга интегрированы в общий подход банка к управлению рисками. Принятая в банке политика и существующие процессы управления рисками должны быть оценены с точки зрения гарантии того, что они достаточно устойчивы, чтобы парировать новые риски, возникающие из-за текущей или планируемой деятельности в области электронного банкинга. Дополнительные меры по наблюдению за управлением рисками, которые следует принять во внимание совету и высшему руководству банка, включают:

Четкое определение приемлемого уровня риска для конкретной банковской организации в рамках электронного банкинга;

Определение ключевых механизмов распределения полномочий и предоставления отчетности, включая необходимые расширенные процедуры для тех случаев, которые влияют на безопасность, надежность или репутацию банка (к примеру, сетевое проникновение, нарушение правил безопасности со стороны работников и любое серьезное нарушение в использовании компьютерных средств)[109];

Обращение внимания на любые специфические факторы риска, ассоциируемые с гарантиями безопасности, целостностью и доступностью услуг и видов обслуживания в части электронного банкинга и требующие принятия адекватных мер со стороны тех контрагентов, которым банк доверил обслуживание ключевых систем или прикладного программного обеспечения;

Осуществление необходимого анализа выполнения обязательств и рисков еще до того, как банк начнет осуществление транзакций в рамках электронного банкинга».

При этом отмечается, что в зависимости от масштаба и сложности деятельности в рамках электронного банкинга охват программ управления рисками и их структура будут различными для разных кредитных организаций.

Ресурсы, требуемые для наблюдения за обслуживанием в части электронного банкинга, как сказано, «следует определять в соответствии с транзакционной функциональностью и значимостью систем, уязвимостью сетей связи и важностью передаваемой по ним информации». Типичным недостатком рекомендаций такого рода является отсутствие указания на то, каким конкретно образом следует это делать и как именно оценить предполагаемое «соответствие» (что в условиях применения новой ТЭБ приобретает для кредитной организации особое значение именно из-за отсутствия готовых «рецептов» практического обеспечения пруденциальности банковской деятельности).

Принцип 2. Совету директоров и высшему руководству следует проверять и утверждать ключевые составляющие процессов контроля безопасности банка.

Совету директоров и высшему руководству банка следует наблюдать за разработкой и «продолжением поддержания инфраструктуры контроля над безопасностью, которая обеспечивает должную защиту систем электронного банкинга и данных как от внутренних, так и от внешних угроз. При этом следует установить соответствующие права авторизации, логические и физические средства контроля доступа, а также адекватную инфраструктуру обеспечения безопасности для поддержания должных возможностей и ограничений в отношении действий как внутренних, так и внешних пользователей». Также «целесообразно зафиксировать в распорядительных документах, что защита банковских активов является одной из областей ответственности высшего руководства кредитной организации» (как будто это и так не ясно!).

Чтобы гарантировать наличие должных средств обеспечения безопасности для деятельности в рамках электронного банкинга, «совету и высшему руководству банка требуется удостовериться в существовании в их банке полноценного процесса обеспечения защиты, включая политику и процедуры, которые касаются потенциальных внутренних и внешних угроз безопасности как в части предотвращения инцидентов, так и в части реагирования на такие происшествия. Ключевыми компонентами эффективного процесса обеспечения безопасности электронного банкинга являются:

Установление однозначно определенной ответственности руководства и персонала за организацию и соблюдение корпоративной политики безопасности[110];

Наличие достаточно эффективных средств физического контроля для предотвращения несанкционированного физического доступа к компьютерному оборудованию;

Наличие достаточных средств логического контроля и процессов мониторинга[111] для предотвращения неавторизованного внутреннего[112] и внешнего доступа к прикладным программам и базам данных электронного банкинга;

Регулярный пересмотр и тестирование мер безопасности и средств контроля, включая постоянное отслеживание современных отраслевых разработок в области безопасности и инсталляцию обновленных версий соответствующего программного обеспечения, служебных пакетов и прочие необходимые меры[113]».

Очевидно, что для реализации этого принципа необходимо наличие знаний (подготовки) в области ОИБ, что предполагает включение соответствующих требований в квалификационные характеристики членов совета директоров кредитной организации, а также ее наблюдательного совета.

Принцип 3. Совету директоров и высшему руководству следует внедрять полноценные и непрерывные процессы наблюдения и контроля выполнения обязательств для управления отношениями банка с провайдерами услуг и другими сторонами, которые обеспечивают поддержку операций электронного банкинга.

В комментарии к этому принципу отмечено, что «повышенная зависимость от партнеров и сторонних провайдеров услуг при осуществлении критических функций в рамках электронного банкинга снижает возможности непосредственного контроля над ними со стороны руководства банка». Соответственно, оказывается необходимой организация всеобъемлющей процедуры управления источниками рисков, ассоциируемыми с заказной обработкой данных и зависимостью банковской деятельности от других сторонних организаций. Процесс формирования, поддержания и «контроля отношений с провайдерами должен охватывать стороннюю деятельность партнеров и провайдеров обслуживания, включая субконтракты на заказную обработку, которые могут иметь материальные последствия для банков». Такой подход для отечественных кредитных организаций пока что нетипичен (ввиду недостаточно развитой инфраструктуры в большинстве российских регионов, хотя в московском регионе ситуация уже изменилась, и провайдеры лишены возможности диктовать кредитным организациям свои условия), однако сам факт наличия разнообразных зависимостей этих организаций от функционирования и качества выполнения SLА (от этого зависят также интересы ее клиентов ДБО) предполагает включение соответствующих положений в распорядительные документы, а на их основе — во внутрибанковские документы, регламентирующие работу подразделений, от которых руководству организации потребуется содействие для реализации описанной функции.

Принцип 4. Необходимо принимать должные меры по аутентификации идентичности и авторизации клиентов, с которыми они осуществляют деловые операции через Интернет.

В этом случае указывается, что кредитным организациям «следует применять надежные методы для верификации идентичности и авторизации новых клиентов, также как и аутентификации идентичности и авторизации зарегистрированных клиентов, обращающихся за проведением электронных транзакций. Верификация клиентов при определении происхождения счета важна для снижения риска хищений идентификационных данных, мошеннических действий со счетами и отмывания денег».

Установление и аутентификация идентичности того или иного лица, а также авторизации доступа к банковским системам в условиях полностью электронной открытой сети связи могут оказаться непростой задачей. Отмечается, что «легитимная авторизация» пользователя может быть фальсифицирована с помощью различных методов, обычно определяемых как «мистификация»[114]. Хакеры могут также перехватывать содержание сеансов легитимно авторизованных лиц, используя так называемые «снифферы»[115], и выполнять действия вредоносного или криминального характера. Помимо прочего, процессы контроля аутентификации могут быть обойдены посредством воздействия на базы данных, хранящие аутентификационные сведения.

Критично важным является наличие в кредитной организации официально принятой политики и процедур, определяющих методологию (или методики), позволяющую гарантировать, что отдельный банк должным образом осуществляет аутентификацию идентичности и авторизации прав того или иного лица или системы’ с помощью уникальных способов и настолько, насколько это практично, гарантирует исключение участия неавторизованных лиц или систем[116]. Банки могут применять разнообразные методы для осуществления аутентификации, включая РIN-ы, пароли, микропроцессорные карты, биометрику и цифровые сертификаты[117]. Эти методы могут быть одно- или многопараметрическими (имея в виду использование как пароля, так и биометрических технологий[118] для аутентификации пользователя); многопараметрическая аутентификация в общем случае «обеспечивает большую уверенность в идентификации».

При этом подчеркивается (и это становится все более значимым в современном мире), что надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий электронного банкинга, учитывая осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, «включая повышенный риск обезличивания индивидуальности и значительные затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам». К этому тесно примыкает проблематика «специфического» использования оффшорных зон.

Поскольку методы аутентификации продолжают совершенствоваться, кредитным организациям рекомендуется «перенимать используемые в отрасли надежные методы работы в данной части», обеспечивающие:

Защиту аутентификационных баз данных, которые предназначены для организации доступа к счетам клиентов электронного банкинга или важным системам, от изменения и повреждения. Любое подобное воздействие должно обнаруживаться, при этом должны вестись аудиторские записи для документирования попыток такого рода;

Должную авторизацию любых добавлений, удалений или изменений в аутентификационной базе данных для того или иного лица, агента или системы, с помощью какого-либо источника аутентификационных данных[119];

Осуществление должных мер контроля подключений к СЭБ, таких, чтобы никто со стороны не мог подменять известных клиентов;

Поддержание безопасности аутентификационного сеанса в рамках электронного банкинга во время всей его длительности или затребование повторной аутентификации в случае возникновения ошибок в защите.

Принцип 5. Необходимо использовать методы аутентификации транзакций, которые способствуют невозможности отказа от операций (доказательного подтверждения операции) и обеспечивают возможность учета транзакций в рамках электронного банкинга.

Невозможность отказа от операции обеспечивается за счет формирования доказательства по ее источнику или предоставлению информации в электронной форме для защиты отправителя от ложного отрицания получателем того, что конкретные данные были получены, или для защиты получателя от ложного отрицания отправителем того, что конкретные данные были отправлены. Риск отрицания совершения операций (еще один вид банковского риска?) стал реальностью в обычных транзакциях, осуществляемых посредством кредитных карточек; в то же время ТЭБ повышает этот риск ввиду сложности положительной аутентификации идентичности и полномочий тех, кто инициирует транзакции (имея в виду прежде всего ПОД/ФТ в широком смысле) «возможностей воздействия на электронные транзакции и их перехват, а также возможностей для пользователей технологий электронного банкинга» заявлять, что имело место мошенническое воздействие на их транзакции. Чтобы парировать новые угрозы такого рода, приходится предпринимать усилия, соразмерные со значимостью и типами транзакций в рамках электронного банкинга, и обеспечивать:

Разработку систем электронного банкинга таким образом, чтобы понизить вероятность инициирования авторизованными пользователями «непреднамеренных» транзакций[120], и полное понимание клиентами тех рисков, которые связаны с любыми инициируемыми ими транзакциями;

Точную аутентификацию всех участников конкретной транзакции и поддержание контроля над аутентифицированным каналом взаимодействия;

Защиту данных о финансовых транзакциях от воздействия извне и обнаружение любых воздействий такого рода.

Принцип 6. Необходимо гарантировать наличие должных мер по адекватному разделению обязанностей в системах баз данных и прикладных программных комплексах электронного банкинга.

«Разделение обязанностей представляет собой основную меру внутреннего контроля, предназначенную для уменьшения риска мошенничества в операционных системах и процессах, а также обеспечения должной авторизации, фиксации и защищенности транзакций и активов своих компаний. Разделение обязанностей является критичным для гарантирования точности и целостности данных и используется для предотвращения проникновения злоумышленников. Если обязанности разделены правильно, то мошенничество может быть совершено только на основе тайного сговора».

Обслуживание в рамках электронного банкинга может привести к необходимости изменения способов, которыми осуществляется и поддерживается разделение обязанностей, поскольку транзакции выполняются через автоматизированные системы, в которых действующих лиц легче замаскировать или подменить. Поэтому «в типичную практику организации и поддержания разделения обязанностей в системах электронного банкинга входят»:

Разработка транзакционных процессов и систем таким образом, чтобы гарантировалась невозможность ввода, авторизации и завершения транзакций для работников банка или провайдера заказных услуг;

Соблюдение разделения функций между теми, кто работает со статичными данными (включая содержание wеb-страниц), и теми, кто отвечает за верификацию и целостность данных;

Тестирование систем электронного банкинга на предмет проверки невозможности обхода установленного разделения обязанностей;

Соблюдение разделения функций между теми, кто разрабатывает, и теми, кто администрирует системы электронного банкинга[121].

Принцип 7. Необходимо обеспечивать наличие должных средств авторизации и полномочий доступа для систем, баз данных и приложений электронного банкинга.

Для поддержания разделения обязанностей кредитным организациям необходимо строго контролировать авторизацию и полномочия доступа. Недостатки в обеспечении адекватного контроля авторизации могут дать возможность отдельным лицам расширить свои права авторизации, обойти разделение функций и получить НСД к системам, базам данных и прикладным программам электронного банкинга, к которым они не допущены. В системах электронного банкинга права авторизации и доступа могут устанавливаться как централизованно, так и распределенным образом (причем и в ЛВС, и в ЗВС, а на современном уровне — и в трансграничных вариантах); соответствующие параметры обычно заносятся в базы данных, защита которых от внешнего воздействия или повреждения является принципиально необходимой для эффективного контроля авторизации.

Принцип 8. Необходимо обеспечивать наличие должных мер защиты целостности данных в транзакциях, записях и информации электронного банкинга.

Под целостностью данных понимается гарантия того, что передаваемая или хранимая информация не подвергалась неавторизованному воздействию. Недостатки в обеспечении целостности данных в транзакциях, записях и информации, являясь источниками компонентов банковских рисков, могут подвергнуть кредитные организации финансовым потерям. При сквозной обработке может быть затруднено своевременное обнаружение ошибок программирования или мошеннической деятельности на ранней стадии.

Поскольку данные об операциях электронного банкинга передаются по открытым телекоммуникационным сетям, транзакции подвержены дополнительным опасностям из-за искажения данных, мошенничества и воздействия на записи в базах данных. Поэтому необходимо обеспечивать использование должных мер, позволяющих удостовериться в точности, полноте и надежности транзакций и информации электронного банкинга, которые могут передаваться через Интернет или передаваться/храниться провайдерами по поручению кредитной организации[122]. Типичные меры, применяемые для поддержания целостности данных в комплексах электронного банкинга, включают:

Проведение транзакций электронного банкинга таким образом, чтобы гарантировалась их высокая устойчивость к внешним воздействиям на протяжении всего этого процесса;

Хранение, предоставление и модификацию записей об операциях электронного банкинга таким образом, который обеспечивает их высокую устойчивость к внешним воздействиям;

Разработку процессов обработки транзакций и хранения записей электронного банкинга таким образом, чтобы было фактически невозможно воспрепятствовать обнаружению неавторизованных изменений;

Осуществление адекватной политики контроля над изменениями, включая процедуры мониторинга и тестирования, для защиты против любых изменений в СЭБ, которые могут из-за ошибочных или намеренных действий повредить средствам управления или нарушить целостность данных;

Обнаружение любого воздействия на транзакции или записи электронного банкинга с помощью функций обработки транзакций, мониторинга и обеспечения сохранности данных.

Принцип 9. Банкам следует убедиться в формировании точных аудиторских записей по всем транзакциям электронного банкинга.

Удаленное предоставление финансовых услуг может затруднить кредитной организации внедрение и применение средств ВК и поддержание точных аудиторских записей, если то и другое не адаптировано к технологии электронного банкинга. Также может быть осложнено осуществление независимого аудита средств контроля, особенно в части критичных для операций электронного банкинга событий и прикладных программ. Это обусловлено тем, что многие, если не все записи о таких операциях и фиксации событий осуществляются только в электронной форме. «При определении ситуаций, в которых следует обеспечивать наличие точных аудиторских записей, учитываются следующие действия:

— открытие, изменение или закрытие счетов клиента,

— все транзакции, влекущие финансовые последствия,

— любая авторизация, модификация или аннулирование прав или полномочий доступа к автоматизированной системе».

Принцип 10. Банкам следует принимать должные меры для сохранения конфиденциальности важнейшей информации в области электронного банкинга, при этом меры для сохранения конфиденциальности должны быть соразмерны значимости информации, передаваемой и (или) хранимой в базах данных.

Конфиденциальность определяется БКБН как «уверенность в том, что важная информация остается частной в банке и не просматривается или не используется никем кроме тех, кто имеет на это право (авторизацию)». Внедрение ТЭБ приводит к появлению новых проблем с ОИБ для кредитной организации и ее клиентов, поскольку увеличивает возможности доступа к информации, передаваемой через открытые сети связи или хранимой в базах данных, со стороны неавторизованных лиц, или же использования ее такими способами, которые не предполагались предоставившим ее клиентом. Кроме того, указывается, что «использование услуг провайдеров может привести к раскрытию важнейших банковских данных посторонним».

Чтобы не возникало проблем с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, «необходимо гарантировать, что:

Доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем;

Для всех конфиденциальных банковских данных в процессе передачи через открытые, частные или внутренние сети связи обеспечивается безопасность и защита от несанкционированного просмотра или изменения;

В случаях использования заказной обработки обеспечивается соответствие стандартам и способам контроля банка над использованием данных и их защитой при получении доступа к этим данным сторонних организаций;

Весь доступ к данным ограниченного использования фиксируется и приняты необходимые меры по защите журналов регистрации доступа к этим данным от внешнего воздействия».

Принцип 11. Необходимо убедиться, что на wеb-сайтах представлена правильная информация, позволяющая потенциальным клиентам банка сделать обоснованные заключения относительно самого банка еще до проведения транзакций через систему электронного банкинга.

Как поясняется в комментариях к этому принципу, руководству кредитной организации необходимо до начала ДБО обеспечить полноту и достоверность информации, представляемой на используемых кредитной организацией wеb-сайтах. «В число примеров информации, которую банк может представить на своем wеb-сайте, входят:

Название банка и сведения о местоположении его головного офиса (а также региональных офисов, если они существуют);

Указание на основной орган (или органы) надзора за банком, ответственный за осуществление надзора за головным офисом банка;

Способы контакта клиентов банка с его центром обслуживания клиентов, решающим проблемы с услугами, рассматривающим жалобы, подозрения в неправомочном использовании счетов, и т. п.;

Способы контакта клиентов и общения с соответствующим наблюдательным органом или структурами, отвечающими за определение правил обслуживания потребителей;

Способы получения клиентами доступа к информации о возможных государственных компенсациях или страховом покрытии депозитов, а также об уровне защиты, который ими обеспечивается (или же указание на wеb-сайт с такой информацией);

Другая информация, которая может быть полезна или затребована в рамках конкретных юрисдикций[123]».

Надо отметить, что эта проблематика изучалась Банком России в связи с большим количеством недостатков в предоставлении кредитными организациями информации на своих представительствах в Сети, что выразилось в разработке Указания оперативного характера от 3 февраля 2004 г. № 16-Т «О Рекомендациях по информационному содержанию и организации wеb-сайтов кредитных организаций в сети Интернет», где тематика определения содержания и организации wеb-сайтов, используемых в банковской деятельности, была раскрыта существенно шире, чем предлагалось БКБН в комментариях к этому принципу; в 2009 г. этот документ был заменен письмом с аналогичным названием[124]. Сами факты размещения неполной и недостоверной информации на wеb-сайтах кредитных организаций свидетельствуют о том, что руководство этих организаций не формировало специального внутрибанковского процесса при выходе их в Сеть (на самом деле в оптимальном варианте организации банковской деятельности в рамках ДБО такой процесс должен был бы формироваться еще до открытия кредитной организацией своего первого wеb-сайта), вследствие чего возникали компоненты правового и репутационного рисков. Такие компоненты могут негативно повлиять на имидж кредитной организации, результатом чего обычно становится упущенная выгода.

Принцип 12. Необходимо принимать должные меры в обеспечение гарантии конфиденциальности для клиентов, применимые в той юрисдикции, в пределах которой данный банк предоставляет услуги и виды обслуживания, относящиеся к электронному банкингу.

В комментариях к этому принципу БКБН подчеркивает, что «ненадлежащее использование или неавторизованное раскрытие конфиденциальных клиентских данных подвергает банк как правовому, так и репутационному риску». К этому стоит добавить, что если причиной этих негативных явлений оказываются такие недостатки во внедренной кредитной организацией ТЭБ или в реализующей ее СЭБ, которые изначально трудно предвидеть, то к указанным рискам могут добавиться компоненты операционного и стратегического рисков (в их взаимосвязи).

Далее в рассматриваемом документе говорится о том, что «для решения проблем, относящихся к сохранению конфиденциальности клиентской информации, банкам следует прилагать разумные усилия по обеспечению того, чтобы:

В политике и стандартах банка, описывающих соблюдение конфиденциальности для клиента, были учтены и соблюдены требования всех законов и правил, касающихся конфиденциальности и применимых в пределах той юрисдикции, в рамках которой предоставляются услуги и виды обслуживания, относящиеся к электронному банкингу;

Клиенты были поставлены в известность о политике соблюдения конфиденциальности банком и соответствующих вопросах соблюдения конфиденциальности, относящихся к использованию услуг и видов обслуживания по электронному банкингу;

Клиенты могли отклонять („вычеркивать“) разрешения на предоставление банком третьим сторонам в целях перекрестного маркетинга любой информации о персональных потребностях, интересах, финансовом положении или банковской деятельности клиента;

Клиентские данные не использовались для целей, выходящих за пределы того, для чего их разрешено использовать, или вне целей, которые были авторизованы клиентом.

Стандарты банка в отношении использования клиентских данных соблюдались при доступе третьих сторон к клиентским данным на основе отношений в рамках заказной обработки».

Принцип 13. Следует эффективно планировать производительность, непрерывность бизнеса и реакцию на непредвиденные события в обеспечение доступности систем и обслуживания в части электронного банкинга.

В соответствующем комментарии указывается, что «каждый конкретный банк должен обладать возможностями предоставления услуг в рамках электронного банкинга конечным пользователям со стороны как первичного их источника (например, внутренних систем и прикладных программ банка), так и вторичного (например, систем и прикладных программ провайдеров тех или иных услуг). Поддержание требуемой доступности зависит также от способности резервных систем обеспечения непрерывности функционирования парировать атаки типа отказа в обслуживании или другие события, которые потенциально могут вызвать прерывание деловых операций». Примеры, которые были приведены в главе 2, подтверждают положения о том, что «проблема поддержания непрерывной доступности систем и приложений электронного банкинга может оказаться значимой с учетом возможного высокого спроса на проведение транзакций, особенно в периоды пиковой нагрузки. Кроме того, высокие ожидания клиентов относительно короткого цикла обработки транзакций и постоянной доступности „24  7“ также повысили важность надежного планирования производительности, непрерывности деловых операций и реакции на непредвиденные ситуации».

В связи с изложенным «для обеспечения такой непрерывности обслуживания клиентов в рамках электронного банкинга, которую они ожидают, банкам необходимо гарантировать, что:

Существующая в настоящий момент производительность системы электронного банкинга и ее перспективная масштабируемость анализируются с учетом общей динамики данного рынка электронной коммерции, а также предполагаемого темпа восприимчивости клиентами услуг и видов обслуживания в области электронного банкинга[125];

Оценки производительности обработки транзакций в рамках электронного банкинга сделаны, проверены при максимальной нагрузке и периодически пересматриваются;

Имеются в наличии и регулярно проверяются соответствующие планы по поддержанию непрерывности деловых операций и действий при непредвиденных обстоятельствах для критических систем обработки и доведения услуг в рамках электронного банкинга».

Принцип 14. Следует разработать должные планы реагирования на случайные происшествия для выявления, учета и минимизации проблем, обусловленных неожиданными событиями, включая внутренние и внешние атаки, которые могут ухудшить обеспечение систем и видов обслуживания в рамках электронного банкинга.

Эффективные механизмы реагирования, как сказано в тексте, «на случайные происшествия» являются принципиально важными для минимизации уровней как минимум операционного, правового и репутационного рисков (а в связи с ними, возможно, и стратегического риска), обусловливаемых неожиданными, хотя и предсказуемыми событиями, такими как внутренние и внешние сетевые атаки, которые могут оказать влияние на функционирование систем и предоставление услуг электронного банкинга. Поэтому указывается, что «банкам следует разработать соответствующие планы реагирования на случайные происшествия, включая стратегию обеспечения связи, которая гарантирует непрерывность деловых операций, контроль над репутационным риском и ограничивает обязательства, ассоциируемые с прерыванием осуществляемого ими обслуживания в рамках электронного банкинга, включая те, которые связаны с использованием систем и операций в рамках заказной обработки».

В связи с изложенным выше кредитным организациям целесообразно в обеспечение «эффективного реагирования на непредвиденные происшествия сформировать:

Планы реагирования на происшествия, описывающие восстановление систем и обслуживания в области электронного банкинга для различных сценариев, деловых операций и географических зон. Анализ сценариев развития событий должен включать рассмотрение вероятности возникновения риска и его влияния на конкретный банк. Системы электронного банкинга, которые переданы сторонним провайдерам услуг, должны учитываться в таких планах, как неотъемлемая часть;

Механизмы оперативного выявления происшествий или кризисных ситуаций, оценивания их материального эффекта и контроля над репутационным риском, ассоциируемым с любым прерыванием в обслуживании;

Стратегию обеспечения связи для адекватного реагирования на внешние проблемы рыночного или информационного характера, которые могут возникнуть в случае нарушений безопасности, онлайновых атак и (или) отказов систем электронного банкинга;

Четкий процесс, организованный для уведомления соответствующих регулятивных органов в случае происшествий, связанных с реальным ущербом безопасности или прерыванием работы;

Группу реагирования на происшествия, наделенную полномочиями экстренного реагирования и имеющую достаточную подготовку в части анализа систем выявления/парирования происшествий и оценивания значимости связанных с ними результатов;

Четкую последовательность обязательных действий, охватывающую как внутренние, так и заказные операции, чтобы гарантировать, что осуществляются должные действия, соответствующие значимости происшедшего. Кроме того, следует разработать процедуры распространения сведений, а также учесть информирование совета банка в случае необходимости;

Процесс, гарантирующий, что все имеющие отношение к делу внешние участники, включая клиентов банка, контрагентов и информационные органы, будут правильно и своевременно информированы о реальных прерываниях в операциях электронного банкинга и о работах по восстановлению данной деятельности;

Процесс для сбора и накопления учитываемых в судебных разбирательствах свидетельств, в обеспечение должного последующего анализа любого происшествия в связи с операциями электронного банкинга, а также для содействия судебному преследованию нарушителей».

В приложениях к рассмотренному документу БКБН приводятся рекомендации по внедрению описанных принципов и практические примеры надежной организации:

— в помощь обеспечению безопасности операций электронного банкинга;

— при управлении внешними системами электронного банкинга и другими зависимостями от сторонних организаций;

— управления внешними системами электронного банкинга и другими зависимостями от сторонних организаций;

— обеспечения наличия точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга;

— обеспечения конфиденциальности клиентской информации в рамках осуществления электронного банкинга;

— и правильной организации планирования производительности, непрерывности операций и действий в случае чрезвычайных обстоятельств.

Эти примеры, как и содержание самого материала[126], могут быть использованы руководством и персоналом высокотехнологичных кредитных организаций для усовершенствования УБР и снижения их уровней, а следовательно, для повышения технологической надежности банковской деятельности.

Аналогичный, но более детализированный подход использован в упоминавшемся в начале книги Письме 36-Т, где в разделе 1 определены семь основных целей разработки рекомендаций Банка России (п. 1.2), непосредственно относящихся к гарантиям надежности банковской деятельности и касающиеся базовых характеристик банковской деятельности, а именно, обеспечения:

«надежного дистанционного банковского обслуживания с применением систем интернет-банкинга, отвечающего требованиям клиентов кредитной организации в части доступности, функциональности и защищенности операций и данных интернет-банкинга;

Соответствия дистанционного банковского обслуживания с применением систем интернет-банкинга требованиям законодательства Российской Федерации, в том числе нормативных актов Банка России, по вопросам банковской деятельности и управления банковскими рисками;

Информационной безопасности систем интернет-банкинга, в том числе защиты информационных ресурсов кредитной организации от неправомерного доступа с применением интернет-технологий;

Контроля за банковскими операциями, осуществляемыми клиентами с применением систем интернет-банкинга, в рамках системы внутреннего контроля кредитной организации;

Противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключению вовлечения кредитной организации в противоправную деятельность при использовании дистанционного банковского обслуживания с применением систем интернет-банкинга;

Достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга;

Поддержания уровней банковских рисков, связанных с дистанционным банковским обслуживанием с применением систем интернет-банкинга, в пределах, установленных кредитной организацией».

Там же, в разделе 4, определяется минимально необходимый состав внутрибанковских документов, в которых целесообразно постулировать основные принципы УБР, непосредственно связанные с применением ДБО. Прежде всего внимание специалистов кредитных организаций обращается на то, что целесообразно определить (описать) все технологические участки информационного контура интернет-банкинга, подлежащие учету при адаптации управления рисками банковской деятельности в новых условиях (п. 4.1). Также желательно проанализировать содержание организационного и информационного взаимодействия с клиентами и провайдерами кредитной организации, с позиций учета потенциальных источников этих рисков в случае наличия недостатков в этом содержании. Наконец, уместно оценить зависимость состава факторов и источников риска для кредитной организации от функционирования комплекса АПО ДБО. Считается, что подобный анализ позволит выделить как минимум основные потенциальные уязвимости кредитной организации, которые могут потребовать введения дополнительного управленческого контроля в обеспечение надежной банковской деятельности.

Принципиально важными в этом плане являются следующие три основных положения, которые, впрочем, могут учитываться и безотносительно организации УБР в условиях ДБО:

1) организация каждого внутрибанковского процесса должна предваряться и по мере его развития сопровождаться разработкой документов, описывающих содержание и регламентирующих данный процесс;

2) каждый внутрибанковский документ должен иметь официальный статус, определяющий место и роль конкретного документа в кредитной организации и в отношении точно определенного процесса;

3) каждый внутрибанковский документ должен быть доведен до всех участников процесса, который данный документ регламентирует и (или) описывает, при этом знание содержания каждого документа должно подтверждаться.

Что касается содержания внутрибанковских документов, в той или иной степени имеющих отношение к организации управления рисками банковской деятельности, то оно конкретизировано (не имея в виду некий «диктат» названий, но именно смысловое содержание) в части ряда основных внутрибанковских процессов, имеющих прямое отношение к проблематике ДБО (кстати, впервые в российской истории банковского регулирования).

В заключение рассмотрения Письма 36-Т важно заметить, что в его раздел 5 сведено описание состава информационных компонентов, которые руководству кредитной организации, переходящей к ДБО, целесообразно было бы включить в состав своей ПСУ, с тем чтобы гарантировать высокое качество решений, принимаемых в отношении применения ТЭБ и контроля функционирования соответствующей СЭБ. Естественно, списки информационных компонентов, приведенные в каждом из подразделов, кредитная организация должна «примерить на себя», чтобы обеспечивалась необходимая ей ППР. На таких принципах, кстати сказать, строятся как системы ППР, так и так называемые «экспертные системы», используемые в банковской деятельности и в банковском контроле за рубежом.

Для оценки состояния УБР и качества реализующего его внутрибанковского процесса (или степени развития, как это определено в главе 3 этой книги) может быть использована простая рейтинговая система, популярная в Западной Европе, в соответствии с которой установлены следующие градации (оценки степени развития от 1 до 5, сверху вниз):

Применение технологий электронного банкинга: риск-ориентированный подход

1-й, низший уровень устанавливается в том случае, если официально принятого в кредитной организации подхода к УБР не существует, т. е. соответствующий процесс как таковой отсутствует. Такая ситуация свойственна практически всем малым кредитным организациям и многим средним. На 2-м уровне представление об исках и их основных видах существует, однако систематический подход к УБР отсутствует и, как это часто бывает, проблемы не предвидятся, а «решаются» по мере их возникновения. При этом нет и устоявшихся подходов к поиску подобных решений, так что ситуация с процессом УБР такая же, как в первом случае. Уровень 3 означает, что в организации имеются документы, содержащие определения банковских рисков, и они доведены до ее персонала, при этом могут делаться попытки установить границы или уровни допустимых рисков. В то же время систематический подход отсутствует в том плане, что результаты УБР зависят от ответственных за процесс сотрудников, а руководящая роль высшего менеджмента «не ощущается». На уровне 4 подход к УБР разработан и реализуется в форме типовых схем предупреждения появления источников компонентов банковских рисков, их выявления и компенсации негативного влияния. Тем не менее этот подход внедрен не во все внутрибанковские процессы, из-за чего отдельные инциденты время от времени происходят, но после их ликвидации принимаются корректирующие меры в отношении тех или иных внутрибанковских процессов. Наконец, 5-й уровень характеризуется наличием развитой системы УБР, которая внедрена на базе процесса ВК во все внутрибанковские процессы через службу внутреннего контроля (СВК). При этом реализована модель пруденциальной организации УБР с использованием превентивного анализа и упреждающей адаптации внутрибанковских процессов при внедрении новых банковских информационных технологий, а также оценкой эффективности этого процесса.

Для российских кредитных организаций типичным пока что является уровень 3, хотя некоторые крупные, работающие в течение длительного времени, организации приближаются к 4-му уровню. То же самое можно сказать о дочерних кредитных организациях зарубежных коммерческих банков, хотя в них ситуация двоякая: обычно внедрены документы головной организации, но реализация их пока отстает. По аналогии с градациями процессного подхода можно было бы предложить и 6-й уровень, имея в виду внедрение автоматизированных процедур для УБР и соответственно постоянного совершенствования этого процесса, однако, такое описание явно преждевременно.

В рекомендациях[127] органов банковского регулирования и надзора США (в частности ОСС) описана система оценивания рисков[128], которая предназначена для использования инспекторами, проверяющими коммерческие банки, и которая может быть использована в тех же целях службами внутреннего контроля и аудита самих банков’. Считается, что она позволяет единообразно оценивать девять основных банковских рисков (о которых шла речь в главе 2), а также определять, в каких случаях типовые процедуры оценивания уровней рисков следует расширить. Для большинства из этих рисков (за исключением репутационного и стратегического) рекомендуется оценивать так называемое «количество риска» (quаntitу оf risк), качество управления риском (quаlitу оf risк mаnаgеmеnt), уровень агрегированного риска (аggrеgаtе risк) и тенденцию изменения риска (dirесtiоn оf risк). Эта система была разработана для содействия инспекторам в определении степени рискованности банковской деятельности и принятии решений относительно степени и вида перспективного «надзорного внимания» к коммерческим банкам. В рамках этой системы профиль риска банка формируется по следующим «четырем измерениям», каждое из которых влияет на стратегию надзора (в данном случае ВК).

Количество риска — это уровень или масштаб того риска, который банк принимает на себя, и характеризуется как низкий (lоw), средний (mоdеrаtе) или высокий (high)[129].

Качество управления риском — это оценка того, насколько хорошо риски идентифицируются, измеряются, управляются и контролируются, она характеризуется такими понятиями, как высокое (strоng), среднее (sаtisfасtоrу) и низкое (wеак).

Агрегированный риск — это итоговая оценка относительно степени надзорного (контрольного) внимания. В нее входят суждения относительно количества риска и качества управления риском (инспектора присваивают весовые оценки каждому из них). Такой риск оценивается как низкий (lоw), средний (mоdеrаtе) или высокий (high).

Тенденция изменения риска — это возможное изменение агрегированного уровня риска в течение следующих 12 месяцев, она характеризуется как снижение, стабильность или возрастание. Если уровень риска оценивается как снижающийся, то инспектор (читай — ВК) предполагает снижение уровня агрегированного риска в течение следующих 12 месяцев. Если уровень риска стабильный, то инспектор предполагает, что агрегированный риск останется неизменным. Если уровень риска возрастает, то инспектор предполагает повышение агрегированного риска в течение следующих 12 месяцев.

В качестве примера итогового оценивания уровней банковских рисков инспекторами, проверяющими коммерческие банки, можно привести таблицу из Соmmunitу Ваnк Suреrvisiоn. Соmрtrоllеr's Наndbоок. ЕР-СВS, в которой объединены экспертные заключения относительно ситуации с операционным риском (табл. 5.1; в заголовках столбцов показаны оценки уровня риска, под ними — выводы, лежащие в их основе; стилистика формулировок и терминология сохранены)[130].

Таблица 5.1.

Индикаторы количества операционного риска[131]

Применение технологий электронного банкинга: риск-ориентированный подход

Аналогичные оценки и инспекционные заключения для качества управления операционным риском в кредитной организации сведены в следующую табл. 5.2.

Таблица 5.2.

Применение технологий электронного банкинга: риск-ориентированный подход Применение технологий электронного банкинга: риск-ориентированный подход

Аналогичные таблицы составлены для всех остальных банковских рисков[132]. Для получения каждого из итоговых экспертных заключений используется заданный набор предварительных выводов по каждому оцениваемому показателю (индикатору), эти наборы здесь не рассматриваются ввиду объемности цитированного материала[133]. В целом банковская организация надзора на основе рисков в США строится циклически, в соответствии с принятой системой оценивания рисков, и представлена на рис. 5.3 (где показана также матрица рисков, приведенная в виде табл. 2.1). Этот подход к оцениванию рисков банковской деятельности прошел длительную проверку временем, автоматизирован и считается эффективным.

Применение технологий электронного банкинга: риск-ориентированный подход

Суждение о том, может ли «количество риска» считаться удовлетворительным или нет, зависит от того, насколько системы управления рисками в банке способны обеспечивать выявление, измерение, мониторинг принимаемого риска и управление им. При этом подчеркивается, что «уровни риска и качество управления риском должны оцениваться независимо», т. е. при присвоении конкретных отдельных рейтинговых оценок по системе оценивания рисков оценка уровня банковского риска не должна зависеть от оценки качества управления им независимо от того, считается оно высоким или низким. Кроме того, «высокие показатели по обеспечению капиталом не должны маскировать неадекватную систему управления рисками», поэтому не следует считать, что «высокие» уровни риска плохи сами по себе, а «низкие» хороши: «оценка уровня риска просто отражает то, какой риск банк принимает в ходе своей банковской деятельности. Оценка уровня считается хорошей или плохой в зависимости от того, насколько система управления рисками банка способна идентифицировать, контролировать риск такого уровня и управлять им». Приведенная цитата имеет прямое отношение к применению электронного банкинга ввиду того, что применение любой ТЭБ может рассматриваться как рискованное для банковской деятельности, хотя такая точка зрения, по-видимому, является упрощенной, поскольку зависит от «степени пруденциальности» условий этого применения.

В качестве примера — в связи с применением технологии интернет-банкинга — достаточно совершить короткий экскурс в историю возникновения и развития Интернета и сопоставить основные выводы из нее с реалиями ДБО через соответствующую сетевую среду. По версии, излагаемой во многих публикациях, история эта началась в 1962 г. во время интенсивной «холодной войны», которая велась так называемыми «западным миром» и «советским блоком». Тогда военные специалисты Пентагона, разрабатывавшие сценарии обмена атомными ударами между участниками уже не «холодного», а «горячего» конфликта, пришли к выводу, что в случае реализации «Советами» некоторых удачных сценариев ведения боевых действий управление войсками «Запада» может быть потеряно. Тогда было выработано простое предложение — воспользоваться в военных целях гражданскими сетями связи, которых к тому времени в США было уже довольно много: правительственные учреждения, финансовые и медицинские корпорации, университеты и другие организации сформировали развитую сетевую инфраструктуру, основанную на проводных, оптоволоконных, радиорелейных и даже спутниковых каналах связи. Очень быстро выяснилось, что эта идея нереализуема, поскольку все сети связи были созданы разными компаниями, базировались на разных аппаратно-программных платформах и работали под управлением несовместимых протоколов[134].

Вследствие этого к 1964 г. сформировались и были практически воплощены (в виде армейской сети связи АRРАNЕТ) две базовые идеи «Открытой информационной системы» и «Универсального протокола взаимодействия». Первая идея предполагала обеспечение возможностей для прохождения потоков данных в условиях изменения конфигурации вычислительной сети: даже если какие-то сегменты сетевой структуры выходили из строя или, наоборот, подсоединялись к некоей базовой сетевой структуре, то данные все равно попадали бы «из пункта А в пункт Б» за счет использования маршрутизации без какого-либо ущерба их целостности. Вторая идея предполагала возможность передачи потоков данных между любыми вычислительными сетями за счет использования универсального набора правил передачи из одной сети в другую через шлюзовые элементы. Соответственно перестало иметь значение, на каких средствах и как именно реализована архитектура вычислительной сети, поскольку потоки данных этой специфики «не замечали» и взаимодействие между сетями (Intеr-Nеt) обеспечивалось.

Таким образом достигались необходимые связность и доступность в киберпространстве (которое реализацией описанных идей и было сформировано), что привело к бурному развитию интернет-технологий, вследствие чего до настоящего времени зависимость вычислительных сетей от интернет-технологий растет. Однако довольно быстро стало очевидным, что в условиях «связности и доступности» практически любой современный бизнес оказывается под угрозой, если в его организации не учтены ключевые аспекты информационной безопасности и защиты информации, особенно при вхождении Интернета в бизнес-инфраструктуру. К сожалению, это явилось прямым следствием противоречия между техническим прогрессом и пресловутым человеческим фактором, о чем удачно было сказано в одной из статей, напечатанных в североамериканском журнале «Аtlаntis Rising»[135]: «Если вы работаете в системе, основанной на честности, целостности, открытости и ясности, а в ней имеются люди, которые действуют вразрез с этими принципами, то их нельзя уличить. Все они вне подозрений». Имеется в виду, что в банковском бизнесе далеко не каждый из участников сетевого взаимодействия может иметь доступ и не ко всем информационным ресурсам (активам). Поэтому при внедрении такой СЭБ, как система интернет-банкинга, необходимо осознавать неизбежно присущие этой ТЭБ факторы риска, заложенные в ее идеологии, почему вопросы ОИБ и защиты информационных активов и стали весьма актуальными на фоне всеобщей эйфории применения в банковском деле интернет-технологий (способов межсетевого информационного взаимодействия), о чем говорилось в главе 1.

На самом деле ничего особенного в применении специальных защитных мер в описанных условиях нет; было бы странно, если бы удалось обойтись без них, и не только в банковском деле, но и в военном. Важно в любом варианте реализации ТЭБ кредитными организациями анализировать их особенности, прямо связанные с организационно-техническими решениями. В качестве примера можно привести варианты реализации интернет-банкинга.

Информационный — в этом варианте кредитная организация использует свой или сторонний wеb-сайт просто для того, чтобы «привлечь к себе внимание», разместив на нем информацию, включающую ее реквизиты, описания услуг, указание тарифов, рекламу и т. п. Принято считать (конечно, необоснованно), что такой вариант выхода в Сеть является безрисковым, поскольку в большинстве случаев физические связи между wеb-сайтом и вычислительной сетью кредитной организации отсутствуют. В тоже время, очевидно, что любой wеb-сайт представляет собой объект для хакерской атаки, вследствие которой он может быть блокирован, его функционирование может оказаться нарушено, его контент изменен и т. п. В книге /. Сrumе Insidе Intеrnеt Sесuritу[136] приведен пример результативной атаки хакеров на wеb-сайт Центрального разведывательного управления США, которые на его стартовой странице разместили надпись «Центральное управление идиотов». В случае российских кредитных организаций проявляется эффект так называемой «недобросовестной конкуренции», которая приводит к размещению на атакуемых wеb-сайтах антирекламы, порочащих гиперссылок, баннеров порносайтов или казино и т. п. Поэтому даже в таком простейшем «информационном варианте» возможно возникновение компонентов репутационного и правового рисков, о чем руководство кредитной организации должно бы задуматься и организовать для сопровождения и контроля функционирования своих wеb-сайтов специальный внутрибанковский процесс (затрагивающий несколько подразделений и требующий документарного обеспечения).

Коммутационный — в этом варианте кредитная организация помимо предоставления информации о себе обеспечивает обмен информацией с клиентами, которые могут направлять ей сведения о себе, например об изменении адресных данных или реквизитов, передавать запросы, получать файлы форм или бланков и т. п. В таких случаях могут иметься физические связи между ее wеb-сайтом и ЛВС, вследствие чего руководству этой организации целесообразно обратить дополнительное внимание на противодействие реализации НСД, усиление антивирусной защиты и т. п., что требует организации дополнительных внутрибанковских процедур.

Операционный (транзакционный) — в этом варианте кредитная организация реализует ДБО с возможностью управления клиентом своими счетами (даже в масштабе времени, близком к реальному, из-за чего и возникло упоминавшееся ранее понятие «сквозной обработки»), Очевидно, что при таком варианте руководство кредитной организации должно уделять наиболее серьезное внимание вопросам ОИБ, поскольку могут возникать сетевые связи между «фронт-офисом» (перемещающимся в клиентскую зону концентрации источников риска) и ее «бэк-офисом», а значит, и последствия реализации компонентов банковских рисков могут оказаться также самыми серьезными.

В двух последних вариантах интернет-банкинга возможна реализация компонентов всех пяти типичных банковских рисков, о которых шла речь в главе 2, естественно, в тех случаях, когда содержанию процесса УБР, составу его процедур и связанных с ним внутрибанковских процессов руководством кредитной организации должного внимания не уделяется.

Обычно предполагается — и в этом выражается позиция как БКБН, так и североамериканских органов банковского регулирования и надзора, — что инициатива в образовании, реализации и контроле процедур такого рода (в свою очередь складывающихся во внутрибанковские бизнес-процессы) идет от органов управления кредитной организации. В то же время само проявление такой инициативы непосредственно связано со специфическими знаниями и квалификационными требованиями: их наличие как раз и выражается в осознании описанной проблематики. В части ДБО это относится как минимум к вопросам архитектуры и «физического» построения распределенных компьютерных систем и вычислительных сетей, контроля их функционирования, ОИБ, ВКи ФМ в кредитной организации. Тем самым предполагается наличие в составе органов управления кредитной организации, как подчеркивалось, специалистов с соответствующей квалификацией или, как отмечает БКБН, наличие в ней комитета, сформированного из специалистов, способных решать задачи по направлению ДБО.

Основной же проблемный фактор для кредитных организаций, осуществляющих процесс УБР в условиях применения ТЭБ и контроля над ним, заключается в том, что из-за различий в ее практической реализации возникает необходимость в точном учете конкретного состава реально действующих факторов и источников рисков в каждом отдельном случае. Из-за этого методика осуществления УБР оказывается заведомо индивидуальной для каждой кредитной организации, переходящей к ДБО. Следствием же этого становится необходимость тесного взаимодействия со службой УБР как минимум следующих подразделений кредитной организации: ИТ, ОИБ, ВК и ФМ, а также ее юридического обеспечения, сервис-центра и, возможно, операционных подразделений (в зависимости от установленного в кредитной организации распределения функций, обязанностей и ответственности). Работе этих подразделений и специфике, привносимой в ее организацию и содержание технологиями электронного банкинга, посвящены все следующие параграфы.

5.3. Адаптация информатизации банковской деятельности.

Основное, что требуется для получения гарантий надежного и безопасного использования любой новой ИТ, — это обеспечение необходимой профессиональной квалификации и технической документации на реализующую ее АС. В условиях применения электронного банкинга, впрочем, к этому требованию добавляется понимание причин возникновения и особенностей реализации новых факторов и источников компонентов банковских рисков (включая ликвидацию «квалификационного разрыва», о котором говорилось ранее). Адаптация схемотехнического описания распределенных компьютерных систем и вычислительных сетей кредитной организации, включая ее филиалы и дополнительные офисы, задействованные в ИКБД, также имеет циклический характер. Это понимание целесообразно отразить во внутренних документах кредитной организации, например в таком, как «Политика внедрения и развития информационных технологий и автоматизированных систем», которая утверждается высшим руководством организации.

В соответствии с положениями такого документа при каждом внедрении новой ТЭБ логично предположить «запуск» очередного витка ЖЦ информатизации банковской деятельности с ее документарного обеспечения. Чрезвычайно полезно начинать его обновление с составления для каждого вновь формируемого канала доступа извне к информационно-процессинговым ресурсам кредитной организации схемы (диаграммы) потоков данных и их описания (включая узлы приема/передачи, обработки, хранения массивов данных, обозначения сетевых адресов и портов и т. п. — всего, что входит в топологию вычислительной сети). Зачастую эти элементарные (хотя и достаточно трудоемкие) мероприятия игнорируются, вследствие чего вся информация о размещении сетевых ресурсов и их функционировании хранится только в головах ответственных исполнителей. Такие ситуации представляют собой один из основных факторов риска для надежной работы БАС и СЭБ кредитной организации, особенно при наличии текучки кадров или образовании чрезмерной концентрации полномочий у каких-либо исполнителей в подразделении ИТ или ОИБ.

При принятии решения о переходе к ДБО клиентов руководителям и специалистам кредитной организации целесообразно проектировать и заранее закладывать в систему ДБО возможности ее масштабирования и повышения производительности, поскольку, как показывает практика, удачный с потребительской точки зрения вариант ДБО быстро приводит к резкому увеличению численности клиентуры, которая переходит к его использованию, а также объемов запрашиваемых ею банковских операций и сопутствующей информации. Одновременно возрастают финансовые потоки, управляемые дистанционно, — в то же время практика свидетельствует и о том, что немало кредитных организаций при развитии своего бизнеса в направлениях ДБО реально сталкиваются именно с нехваткой производительности СЭБ и БАС. В ряде случаев проблемы такого рода оказывается трудно решить не только без непредвиденных и заметных вложений в новое аппаратно-программное обеспечение, но также и без изменений в организационной структуре кредитной организации. Следствием этого, как правило, являются своего рода «наведенные» проблемы, возникающие одновременно с интеграцией новых систем ДБО с уже действующими операционными банковскими автоматизированными системами и системами информационного обеспечения руководства кредитной организации.

Степень зависимости результатов бизнеса от надежности компьютерных систем организации должна полностью осознаваться ее руководством и адекватно учитываться при распределении ресурсов. Важно отметить, что простое следование «требованиям времени», имея в виду наращивание кредитными организациями «технологических мышц», равно как и имиджевым соображениям, которые не обусловлены непосредственно стратегическим и бизнес-планами и т. п., скорее всего, приведет к реализации как компонентов операционного и стратегического риска (по минимуму), а если контроль над системами электронного банкинга окажется недостаточным, так и всех остальных из рассматриваемых здесь типичных банковских рисков. Такая ситуация хорошо иллюстрируется приведенной на рис. 5.4 карикатурой (с wеb-сайта www.саrtооnbаnк.соm).

Применение технологий электронного банкинга: риск-ориентированный подход

Типичными проблемными вопросами, долгое время не решаемыми во многих отечественных кредитных организациях, остаются:

Отсутствие планирования информатизации (политики информатизации);

Неадекватное распределение ресурсов (остаточный принцип);

Нехватка квалифицированного персонала (слабое знание новых систем);

Недопустимое совмещение обязанностей (концентрация полномочий);

Недостатки сетевых архитектур (доступность, уязвимость и т. п.);

Незнание технологий провайдеров (источников компонентов банковских рисков);

Недостаточный внутренний контроль (нехватка совокупной квалификации).

Наличие недостатков такого рода в части применения кредитной организацией ИТ для автоматизации банковской деятельности свидетельствует о существовании для нее серьезных и неучтенных факторов возникновения источников компонентов банковских рисков.

В организации и обеспечении процесса использования ИТ в кредитной организации (в том числе его документарного обеспечения) многое зависит от того варианта, который был изначально принят для автоматизации банковской деятельности в качестве основного. Вариантов создания программно-информационных комплексов ДБО всего три, это:

1) оригинальный собственный комплекс кредитной организации;

2) заказная разработка специализированной компанией-вендором;

3) приобретение комплекса СЭБ, изготовленного «под ключ».

Различия в организации внутрибанковских процедур в связи с каждым из подходов приводят к вариациям в составах факторов возникновения и источников компонентов банковских рисков, что полезно учитывать при уточнении содержания связанных с применением ИТ внутрибанковских процессов, порядков и документарного обеспечения банковской деятельности прежде всего в плане обеспечения эффективного УБР. Здесь также возможны различия в решении вопросов контролируемости ИТ и компенсации зависимостей кредитной организации от сторонних компаний (если обобщенно рассматривать вендоров как разновидность провайдеров[137]).

Естественно, в случае самостоятельной разработки БАС и СЭБ кредитная организация легче всего решает вопросы проектирования, основываясь на знании локальных условий персоналом, сопровождения, модернизации и во многом с ОИБ и контролем функционирования автоматизированных систем, а также их ПСИ. В то же время традиционные подходы к этим процессам часто связаны с тем, что происходит крайне нежелательное совмещение функций разработки и эксплуатации, управления и контроля, а также системного администрирования. С другой стороны, главной платой за этот подход являются расходы на содержание остаточно обширного штата специалистов высокой квалификации в области ИТ, что могут позволить себе далеко не все кредитные организации.

В случаях использования заказной разработки кредитная организация экономит на расходах на персонал, но попадает в известную зависимость от компании-разработчика, с которой ей приходится «выстраивать отношения», а значит, заботиться о подготовке исходных данных на разработку и согласование соответствующего технического задания, участвовать в обеспечении и организации ПСИ, а также в подготовке документации по их обеспечению и проведению (что является наиболее сложным после подготовки технического задания), равно как и решать вопросы модернизации автоматизированных систем или их замены по мере развития и усложнения бизнеса. К перечисленному добавляются организация и сопровождение договорных отношений, а также прогнозирование надежности вендора, поскольку в случае его ухода с рынка банковской автоматизации разработанная «под пожелания» заказчика АС останется без поддержки, а значит, и без развития и возможностей решения неотложных вопросов (например, разрешения чрезвычайных происшествий техногенного характера). Кстати сказать, все перечисленные функции требуют от персонала кредитной организации наличия и проявления достаточно высокой квалификации, хотя, конечно, далеко не в тех масштабах, что в предыдущем варианте.

Наконец, если АС приобретается кредитной организацией в готовом, «товарном» виде, то специалисты кредитной организации должны убедиться в том, что СЭБ точно соответствует потребностям банковской деятельности в варианте ДБО. Для этого необходимо не только наличие описания таких потребностей (что сродни подготовке исходных данных на разработку), но также изучение того, как были организованы и проводились ПСИ специалистами компании-разработчика, включая их программы и методики, протоколы и акты, контрольные примеры и тесты. Как и в предыдущем варианте, решать требуется и вопросы последующего сопровождения и модернизации СЭБ в процессе ее эксплуатации. Для того чтобы грамотно разобраться в этих вопросах, также требуется специальная квалификация. Кстати, для двух последних вариантов актуальной и очень сложной может оказаться задача подтверждения отсутствия в АС уже упоминавшихся ранее «недокументированных функций» («закладок»), хотя в отношении известной, зарекомендовавшей себя на рынке банковского АПО компании высказывание таких подозрений, скорее всего, окажется необоснованным.

Аналогичные вариации имеют место для размещения и сопровождения (ведения) wеb-сайтов, используемых в банковской деятельности (в широком смысле). Основные варианты включают:

Подразделение информатизации кредитной организации;

Аппаратный комплекс фирмы-разработчика wеb-сайта;

Аппаратный комплекс компании-провайдера.

Имеются и другие варианты ДБО через компании-интеграторы, причем следует отметить, что отношения кредитной организации со сторонней компанией в каждом из них строится, как правило, индивидуальным образом, и специалисты ее подразделений — от ИТ, ОИБ, ВК до правового обеспечения — должны быть к этому готовы. Опять-таки размещение wеb-сайтов на средствах самой кредитной организации требует наличия квалифицированного персонала, владеющего wеb-технологиями, размещение на сторонних мощностях — детальной проработки текстов соответствующих контрактов.

В техническом плане надежность ДБО определяется прежде всего архитектурой и организацией резервирования компьютерных систем и каналов связи, входящих в ИКБД, в том числе находящихся вне кредитной организации. Не меньшее значение имеет применение средств сетевой и антивирусной защиты, а также так называемых систем «предотвращения вторжений» и систем «обнаружения вторжений», которые обозначаются преимущественно англоязычными аббревиатурами, соответственно, IРS и IDS[138], которые могут использоваться как порознь, так и в комбинации. Последние являются больше прерогативой подразделения ОИБ, хотя во многих российских кредитных организациях значительное количество функций ОИБ «исторически» выполняется их подразделениями ИТ, что в подавляющем большинстве случаев чревато повышением уровней компонентов банковских рисков, поскольку даже если специалисты ИТ имеют основательную подготовку в части ОИБ (а это все-таки не всегда так), то происходит чрезмерная концентрация полномочий высокого уровня в одном подразделении кредитной организации.

Руководству высокотехнологичной кредитной организации целесообразно уделять внимание ряду основных аспектов применения в ней информационных технологий, а именно: проектированию, созданию, обеспечению надежности, внедрению, эксплуатации, модернизации, замене банковских автоматизированных систем и систем электронного банкинга, управлению и контролю в области ИТ, а также квалификации персонала, решающего задачи применения ИТ для автоматизации банковской деятельности. Решение всех этих вопросов предпочтительно осуществлять в рамках ИСУ кредитной организации, которая одновременно служит целям контроля эффективности использования ИТ и автоматизированных систем. В отношении электронного банкинга для этого можно воспользоваться обобщенным подходом, к примеру, упомянутой в разделе 3 универсальной рейтинговой системой для информационных технологий (УРСИТ), которая была разработана органами банковского регулирования и надзора США в 1978 г. и модернизировалась до 1999 г., после чего используется, как считается, в «законченном» виде.

Создавалась УРСИТ Федеральным советом по проверкам финансовых учреждений[139], который является общим методическим органом для учреждений США, выполняющих регулятивно-надзорные функции в банковской системе, — основные из них: Федеральная резервная система (FRS), Управление контролера денежного обращения (ОСС) и Федеральная корпорация страхования депозитов (FDIС)[140]. В описании УРСИТ, официально зарегистрированной в США’, указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании информационных технологий и выявления тех учреждений и провайдеров услуг, в отношении которых необходимо особое внимание со стороны надзора». В то же время такими разработками пользуются и коммерческие банки, и другие финансовые учреждения США.

Основная цель применения УРСИТ заключается в выявлении таких организаций, чьи состояние или работа в части выполнения функций, реализуемых информационными технологиями, требуют специального контроля со стороны надзора. Эта рейтинговая система помогает проверяющим в оценке риска и описании установленных в ходе проверки фактов, поэтому система включает описания так называемых «компонентных» и «суммарных» (композитных) рейтингов, а также идентификацию рисков и оцениваемых факторов, которые учитываются при присвоении компонентных рейтингов. В рамках УРСИТ любое из контролируемых (проверяемых) финансовых учреждений или провайдеров услуг получает композитную рейтинговую оценку, которая основана на оценивании и присваивании рейтингов четырем компонентам, характеризующим деятельность организаций в части ИТ. Этими компонентами являются, по сути, четыре внутренних процедуры в самой организации, а именно:

1) проведение аудита ИТ;

2) управленческая деятельность в части ИТ;

3) организация системных разработок и приобретений;

4) организация поддержки и сопровождения ИТ.

Как для суммарного, так и для компонентных рейтингов используются цифровые оценки в диапазоне от 1 до 5 (соответственно от наилучшего случая к наихудшему). Итоговый рейтинг ассоциирован со следующими экспертными оценками (формулировками):

1 — безупречное функционирование;

2 — надежное и устойчивое функционирование;

3 — требуется незначительное надзорное внимание;

4 — ненадежные и неустойчивые условия работы;

5 — критическая операционная ситуация.

Основным назначением суммарного рейтинга является идентификация тех финансовых учреждений и провайдеров услуг, которые обнаруживают слишком большую уязвимость к рискам, ассоциируемым с информационными технологиями. Поэтому отдельной подверженности риску, которая явно влияет на жизнеспособность данной организации и (или) ее клиентов, должен присваиваться более высокий весовой коэффициент в суммарном рейтинге.

Суммарный рейтинг получается посредством суммирования качественных оценок[141] всех четырех компонентов. Между суммарным рейтингом и компонентными рейтингами функционирования существует связь, в то же время суммарный рейтинг не является арифметическим средним его компонентов. При использовании риск-ориентированного подхода простой арифметический расчет не отражает реального состояния ИТ. Любой низкий рейтинг одного компонента может сильно повлиять на общий суммарный рейтинг для того или иного учреждения. К примеру, если функция аудита реализуется неадекватно, то целостность автоматизированных систем как таковую нельзя с уверенностью подтвердить. Подходящим обычно оказывается значение суммарного рейтинга, не дотягивающее до удовлетворительного («3» — «5»), Таким образом, система УРСИТ имеет пирамидальную структуру, которая представлена на рис. 5.5. В его нижней части показана «плоскость рейтинговых компонентов», т. е. некая воображаемая область группирования первичных выводов, в которой овалы имеют условный радиус, равный 5, а радиальные линии представляют собой оси оценок. Пунктирами показаны своего рода конусы, сводящие компонентные рейтинги в значения суммарных рейтингов (собственно частные оценки не показаны, чтобы не загромождать рисунок, — предполагается, что это метки на радиусах, от которых отходят вверх линии «логических выводов»).

Применение технологий электронного банкинга: риск-ориентированный подход

Можно обратить внимание на сходство представленной иллюстрации с конструкцией, изображенной на рис. 2.1, что свидетельствует о возможности объединения рассмотренных подходов.

Четыре основных компонента УРСИТ, определяемых так же, как основные составные части деятельности организаций в области ИТ — «Аудит», «Менеджмент», «Разработка и приобретения», «Поддержка и сопровождение», — используются для оценки так называемых «общих характеристик» функционирования организаций в части ИТ. Композитные рейтинги ИТ и каждый компонентный рейтинг определяются по шкале от 1 до 5 в нисходящем порядке по степени надзорного внимания:

1 представляет наивысший рейтинг и интерпретируется как наилучшее функционирование проверенной организации и управление в ней при достаточности наименьшего внимания со стороны надзора, тогда как 5 представляет самый низкий рейтинг и интерпретируется как наихудшее функционирование организации и управление в ней, требующее наибольшего внимания со стороны банковского надзора.

1. В части аудита рассматриваются:

— независимость;

— адекватность применяемой методики анализа риска;

— масштаб охвата;

— участие в разработках, закупках аппаратно-программных средств и т. п.;

— планирование аудиторских мероприятий;

— квалификация и компетентность специалистов;

— периодичность проведения и последующий контроль.

2. Оценка деятельности руководства кредитной организации осуществляется по следующим показателям:

— степень и качество наблюдения со стороны совета директоров и высшего руководства банка за информационными технологиями;

— планирование новых видов деятельности;

— реакция на изменяющиеся условия;

— организация внутренней отчетности и информирование руководства;

— адекватность внутренней политики банка и средств контроля;

— эффективность системы мониторинга рисков;

— содержание и качество договоров с провайдерами и клиентами.

3. Оценка процессов разработки и приобретения учитывает:

— организационную структуру кредитной организации;

— контроль над системными разработками и процессами приобретения;

— адекватность организации ЖЦ разрабатываемых систем и принятых стандартов программирования;

— обеспечение качества разработок и контроль над внесением изменений;

— документарное обеспечение банковских автоматизированных систем;

— обеспечение целостности и безопасности вычислительных сетей, а также системного и прикладного программного обеспечения.

Кстати, можно заметить, что первоначально в рассматриваемой рейтинговой системе вместо «Процессы разработки и приобретения» и «Процессы поддержки и сопровождения» фигурировали «Системные разработки и программирование» и «Операции».

4. Поддержка и сопровождение в кредитной организации рассматриваются со следующих позиций:

— возможности предоставления банковских услуг и удовлетворение требований бизнеса;

— планирование в целях обеспечения непрерывности работы функциональных систем и ее контроль;

— планирование и контроль производительности и функциональных возможностей банковских автоматизированных систем;

— политика, процедуры и практика ОИБ;

— содержание и качество контрактов с провайдерами;

— обеспечение конфиденциальности банковской информации.

Суммарные рейтинги при этом описываются приведенными ниже совокупностями экспертных заключений, аналогичных по стилю и применению экспертным заключениям, использовавшимся в параграфе 5.2 для описания ситуации в кредитной организации с операционным риском (его уровнем и управлением им). Здесь необходимо подчеркнуть, что, поскольку в соответствии с законодательством США кредитные организации обязаны контролировать финансовое состояние своих провайдеров и выполнение ими SLА, а органы банковского регулирования и надзора имеют право проверять провайдеров так же, как и сами эти организации, УРСИТ применяется инспекторами к тем и другим, а те в свою очередь также используют данную систему в целях обеспечения надежности аутсорсинга. Тем самым гарантируется единство подходов к оценке уровней компонентов банковских рисков.

Суммарный рейтинг 1.

Финансовые учреждения или провайдеры, которым присвоен рейтинг «1», демонстрируют во всех отношениях надежное функционирование и обычно их компоненты оцениваются «1» или «2». Недостатки в организации ИТ незначительны и легко устраняются в ходе обычной работы. Процессы риск-менеджмента реализованы в форме полноценной программы выявления и мониторинга риска в соответствии с размерами, сложностью деятельности и профилем риска учреждения. Стратегические планы тщательно разработаны и полностью внедрены в учреждении. Это позволяет руководству быстро адаптироваться к изменяющимся рыночным условиям, деловым и технологическим потребностям данного учреждения. Руководство четко идентифицирует недостатки и принимает соответствующие корректирующие меры для их устранения с учетом требований аудита и органов регулирования. Финансовое состояние провайдера устойчивое, и общие характеристики функционирования свидетельствуют об отсутствии проблем.

Суммарный рейтинг 2.

Финансовые учреждения или провайдеры, которым присвоен рейтинг «2», демонстрируют безопасное и надежное функционирование, но при этом могут иметь место умеренные недостатки в операционных характеристиках, мониторинге, управленческих процессах или разработке систем. Как правило, высшее руководство исправляет недостатки в ходе обычной работы. Процессы риск-менеджмента позволяют адекватно выявлять и контролировать риск в соответствии с размером, сложностью деятельности и профилем риска данного учреждения. Стратегические планы разработаны, но могут требовать уточнения, улучшения координации или совершенствования информирования в организации. В результате руководство предвидит изменения в рыночных условиях, деловых и технологических потребностях учреждения и реагирует на них, но менее оперативно. Руководство, как правило, идентифицирует недостатки и принимает соответствующие корректирующие меры. В то же время устранение проблем в большей степени зависит от аудита и вмешательства регулирующих органов. Финансовое состояние провайдера услуг приемлемое, и хотя могут иметься некоторые недостатки во внутреннем контроле, существенных причин для усиления надзора нет.

Суммарный рейтинг 3.

Финансовые учреждения или провайдеры, которым присвоен рейтинг «3», требуют определенного внимания со стороны надзора из-за сочетания недостатков, которые могут варьироваться от умеренных до серьезных. Если эти недостатки сохранятся, то в дальнейшем возможно ухудшение состояния и функционирования данного учреждения или провайдера услуг. Процессы рис к-менеджмента могут недостаточно эффективно идентифицировать риски и не соответствовать размеру, сложности деятельности и профилю риска данного учреждения. Стратегические планы недостаточно четкие, и в них может неадекватно описываться направление развития ИТ. В результате руководство часто испытывает трудности с реагированием на изменения в рыночных условиях, деловых и технологических потребностях учреждения. Практика самооценки не развита и обычно представляет собой реакцию на результаты аудита и отклонения от установленных правил. Проблемы могут повторяться, свидетельствуя о нехватке у руководства возможностей или желания решать проблемы. Финансовое состояние провайдера может быть проблемным или могут наблюдаться негативные тенденции в нем. Несмотря на то что серьезные финансовые или функциональные проблемы вряд ли возникнут, требуется повышенное внимание надзора. Может оказаться необходимо содействие в обеспечении проведения корректирующих мероприятий.

Суммарный рейтинг 4.

Финансовые учреждения или провайдеры, которым присвоен рейтинг «4», работают в небезопасных и ненадежных условиях, что может негативно сказаться в дальнейшем на их «жизнеспособности». Функциональные недостатки свидетельствуют о серьезных проблемах с руководством. В процессах рис к-менеджмента неадекватно учтены размер, сложность деятельности и профиль риска данного учреждения, риски плохо идентифицируются и контролируются. Стратегические планы плохо составлены и не скоординированы или не доводятся до персонала организации. В результате руководство и совет директоров не хотят или не способны обеспечивать удовлетворение технологических потребностей учреждения. Руководство не применяет самооценку и демонстрирует неспособность или нежелание исправлять проблемы, выявленные аудитом, и отклонения от установленных правил. Финансовое состояние провайдера неудовлетворительное и (или) заметно ухудшается. Банкротство данного финансового учреждения или провайдера может быть вполне вероятно, если не принять срочных мер по устранению проблем с ИТ. Необходимо серьезное внимание со стороны надзора, и в большинстве случаев требуется применение установленных мер воздействия.

Суммарный рейтинг 5.

Финансовые учреждения или провайдеры, которым присвоен рейтинг «5», характеризуются наличием критических недостатков в функционировании, которые требуют немедленного устранения. Операционные проблемы и серьезные недостатки могут иметься во всей организации и свидетельствуют о серьезных проблемах с руководством. Процессы риск-менеджмента явно плохо организованы и не позволяют руководству осознавать риск или осознавать его в незначительной степени в сопоставлении с размером, сложностью деятельности и профилем риска конкретного учреждения. Стратегические планы отсутствуют или неэффективны, а руководство и совет директоров уделяют мало внимания или вообще не обращают внимания на управление деятельностью в области ИТ. В результате руководство не имеет представления о технологических потребностях учреждения или не обращает на них внимания. Руководство не способно исправлять проблемы, выявленные аудитом, и отклонения от установленных правил. Финансовое состояние провайдера плохое, и банкротство весьма вероятно из-за финансовой нестабильности. Необходимо постоянное внимание со стороны надзора.

Компонентные рейтинги далее не рассматриваются в силу объемности материала — его можно найти в публикациях по ссылкам, приведенным в этой книге.

FFIЕС отмечает, что практика управления, особенно в отношении риск-менеджмента, значительно различается в разных финансовых учреждениях и у провайдеров в зависимости от их размера, специализации, характера и сложности их деловой активности, а также свойственных им профилей риска. Отмечается также, что в условиях, не требующих применения сложных информационных систем, наличие детализированных или строго формализованных описаний систем и средств контроля, которые приводят к более высоким значениям суммарного и компонентных рейтингов, не обязательно. Описанная УРСИТ считается эффективной, подтвердившей практичность ее применения органами банковского надзора для определения и оценки условий функционирования кредитных организаций в области применения ими ИТ.

Что касается возможного использования УРСИТ, то специалистами кредитных организаций рассмотренные материалы могут быть использованы в интересах собственных методических разработок индивидуального характера, которые целесообразно акцентировать на специфике применяемых этими организациями банковских автоматизированных систем в их связи с системами электронного банкинга, или применении ИТ в целом. При этом следует дополнить такие разработки учетом особенностей проектирования, внедрения и эксплуатации систем электронного банкинга.

5.4. Адаптация обеспечения информационной безопасности.

Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых видов, нетипичных для традиционной ее организации. Конечно, кредитные организации всегда подвергались и подвергаются рискам, связанным с ошибками или мошенничеством, но с внедрением компьютерных технологий уровень таких рисков и масштаб их влияния существенно изменились, поскольку возможности и последствия реализации рисков такого рода значительно расширились. Тем не менее, как это ни странно, но нередко приходится сталкиваться с такими ситуациями в кредитных организациях, которые свидетельствуют о «как бы» непонимании радикального изменения состава требований к ОИБ в связи с внедрением ТЭБ. Буквально остаются справедливыми слова, произнесенные более двух тысяч лет назад: «Нет памяти о прежнем, да и о том, что будет, не останется памяти у тех, которые будут после»[142].

Задача ОИБ при использовании систем электронного банкинга является, возможно, наиболее сложной для решения. Как подчеркивает БКБН, «чтобы парировать проблемы с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, необходимо гарантировать, что доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем». Большинство задач в рамках решения указанной проблемы, которые возникают при образовании ИКБД, являются новыми и непосредственно связанными с ним, что отмечалось в главе 1. В общем случае требуется контроль адекватности ОИБ применяемым в кредитной организации ИТ[143], для чего необходим анализ и практический учет новых реальных и потенциальных угроз, связанных с технологиями электронного банкинга, а также сценариев их возможной реализации с оценкой последствий для кредитной организации и ее клиентов. Они определяются исходя из результатов анализа источников компонентов банковских рисков, связанных с недостатками в ОИБ, вследствие чего их целесообразно точно указывать в «Положении об управлении банковскими рисками» и согласовывать содержание такого документа с «Политикой обеспечения информационной безопасности» кредитной организации.

Рассматриваемая проблематика, как видно из изложенного выше, многоаспектна. Поэтому, в частности, службе безопасности (СБ) кредитной организации, которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно было бы регулярно проводить скрупулезный анализ не только информационных ресурсов самой организации, ядром которых являются ее БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на финансовое состояние, статус, имидж и другие характеристики организации и на интересы ее клиентов. Состав ресурсов такого рода определяется их значимостью в перечисленных отношениях, включая сохранение банковской тайны и защиту персональных данных. При этом целесообразно учитывать, что критичными для клиентов могут оказаться различные варианты НСД к банковской информации: от массивов данных бухгалтерского учета до сведений о фактах осуществления тех или иных банковских операций и сделок. Поэтому, как часто пишут, «специальное внимание» целесообразно уделять, как минимум, тем информационным сечениям в БАС, между БАС и системой ДБО и во внешнем сегменте ИКБД, в которых такой НСД потенциально может иметь место (как, впрочем, и другие атакующие воздействия). Регулярность детального анализа определяется, во-первых, теми интервалами времени, которые связаны с модернизациями банковских автоматизированных систем или нововведениями в банковских информационных технологиях — их темпом, а во-вторых, появлением информации о компрометации средств защиты компьютерных систем.

Что касается организации информационных сечений, то менеджерам различных уровней целесообразно обращать внимание на наличие и содержание ролевых функций персонала кредитной организации при передаче (и, возможно, преобразовании) потоков данных из одной АС в другую. От этого зависит в первую очередь эффективность реализации в кредитной организации процессов управления, обеспечения информационной безопасности и внутреннего контроля, включая финансовый мониторинг. Как правило, без какого-либо хотя бы косвенного участия персонала в процедурах обработки (преобразования) данных при ДБО не обходится даже в случае упоминавшейся ранее автоматизированной сквозной обработки. В таких случаях целесообразно рассматривать, как минимум, следующие вопросы:

— предусмотрено ли наличие функций, выполняемых операторами БАС (или в ряде случаев систем ДБО) либо системными администраторами, обладающими полномочиями доступа к данным из поступающих ордеров клиентов, и если предусмотрено, то с какими правами, и существуют ли возможности несанкционированного считывания (хищения, утечки) информации, ее подмены или уничтожения, имитации проводимых операций как бы от лица легитимных клиентов и т. п.?

— могут ли функции, выполняемые уполномоченными сотрудниками кредитной организации, давать возможности осуществления каких-либо мошенничеств разного рода: хищения финансовых средств (например, за счет подмены реквизитов ордеров), сокрытия сомнительных операций, подлежащих обязательному контролю, несанкционированного использования конфиденциальной информации (ключи или пароли доступа, кодовые фразы, персональные данные клиентов или сведения о проводимых ими операциях и т. д.)?

— внедрены ли в кредитной организации процедуры контроля над функциями, выполняемыми сотрудниками, имеющими доступ к информационным сечениям, и чем гарантируется эффективность этих процедур (используемые методы, внутрибанковские документы, примененные средства, способы и программы проверок, ответственность за проведение проверок и отчетность о проверках, гарантии невозможности реализации сговора или нелегитимных действий, приводящих к нарушению целостности данных и т. п.)?

Эти вопросы тесно связаны, хотя и не пересекаются полностью с проблематикой ОИБ в кредитной организации, включая защиту информационных и процессинговых ресурсов этой организации от неправомерного доступа с применением технологий ДБО.

Упомянутое выше «специальное внимание» может реализовываться в разных формах. Прежде всего логично разработать и внедрить процедуры контроля доступа к файлам данных, проходящим через значимые информационные сечения, например, между системами ДБО и БАС кредитной организации. В таких сечениях могут располагаться операторы какой-либо АС, системные или сетевые администраторы или операторы, специально выделенные для выполнения каких-либо функций. Ни один из таких сотрудников кредитной организации не должен обладать делегированными ему неконтролируемыми полномочиями (особенно при совмещении обязанностей, к примеру, системного администратора и администратора информационной безопасности, что нередко получается «само собой»). Особенно целесообразно ограничивать и контролировать возможные действия, следствием которых может стать нарушение целостности банковских данных или их утечка. В то же время для осознания образования такой «неконтролируемости» в виртуальном пространстве требуется знание о наличии возможностей для этого. Поэтому в материалах зарубежных органов банковского регулирования и надзора часто подчеркивается важность обеспечения следования так называемому принципу «четырех глаз» (двойного независимого параллельного контроля — особенно при принятии ответственных решений), что может быть отнесено ко многим направлениям банковской деятельности (необязательно связанным с информационными технологиями).

Важное значение имеет определение и описание защищаемых ресурсов с указанием их значимости для кредитной организации и ее клиентов. Таким документам лучше придавать статус «для служебного пользования» и разделять права доступа к ним между специалистами разных подразделений (естественно, на разумных основаниях — без ущерба функционированию кредитной организации, ее БАС и СЭБ, а также осуществлению ОИБ, ВК, ФМ и УБР). Анализ уязвимостей в распределенных компьютерных системах кредитной организации необходимо проводить сначала превентивно, а затем как на регулярной, так и на оперативной основе. При внедрении новой ТЭБ его в любом случае следует проводить превентивно в рамках предварительного анализа состава новых компонентов банковских рисков, впоследствии сопоставляя развитие реальной ситуации с прогнозировавшейся. Эта процедура завершается выбором, приобретением и установкой конкретных средств сетевой защиты от угроз, ассоциируемых с ИКБД. Поскольку количество таких угроз постоянно растет, в первую очередь ввиду «успехов» хакерского сообщества, для СБ логично отслеживать «достижения», связанные с «пробоем» средств защиты, к числу которых относятся в первую очередь брандмауэры и прокси-сервера (что было показано на рис. 5.2). Поэтому хорошей практикой считается изучение материалов, представляемых хакерским сообществом на многочисленных wеb-сайтах, используя их в том числе и для оперативной замены скомпрометированных средств защиты.

Вместе с тем известно, что «идеальных» способов и средств ОИБ в сетевых структурах до настоящего времени не существует. По существу, в современных условиях это обеспечение стало постоянным итеративным процессом: возникновение новых угроз надежности банковской деятельности — в это понятие входит и обеспечение гарантий конфиденциальности информации, обрабатываемой и хранящейся в кредитной организации — приводит к необходимости внедрения и совершенствования средств защиты информационно-процессинговых ресурсов кредитной организации. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, причем, поскольку «то, что один человек сделал, другой всегда может сломать», со средствами сетевой защиты это происходит почти постоянно, из-за чего становится необходимой разработка специальной «политики управления обновлениями»[144] (или в буквальном смысле — «заплатками»).

Реализующая эту «политику» процедура (Раtсh Маnаgеmеnt) определяется как ОИБ компьютерных систем с целью противодействия атакам на компьютерные системы организации и обеспечения целостности ее АПО. По сути это компонент управления его модернизацией, включающий функции оценки текущей ситуации в отношении устойчивости АПО АС к атакам, приобретения средств, необходимых для коррекции выявленных недостатков, тестирования и включения «заплаток» в состав АПО. В обеспечение надежности описанной процедуры обычно разрабатывается специальное документарное обеспечение, хотя и не столь значительное по объему, как документы, регламентирующие реализацию внутрибанковских процессов (объем зависит от «насыщенности» кредитной организации автоматизированными системами), но предназначенное для охвата всех компонентов вычислительной сети, которые могут потребовать модернизации.

В первую очередь это относится к компьютерным операционным системам и программному обеспечению сетевых экранов (брандмауэров), прокси-серверов, маршрутизаторов и т. п. В зарубежной литературе[145] решению этой задачи уделяется серьезное внимание, поскольку продолжение использования скомпрометированного программного обеспечения, его устаревших версий или несвоевременная инициация указанной процедуры могут образовать «дыры» в периметре безопасности кредитной организации и привести к реализации многих компонентов банковских рисков. Таким образом, эту процедуру логично утвердить официально, документально оформить, сделать, так сказать, «сторожевой» и довести до должностных инструкций ответственных исполнителей и их менеджеров.

Для удобства анализа построения и потенциальной уязвимости вычислительных сетей используется разработанная Международной организацией по стандартам’ так называемая модель «Взаимосвязи открытых систем»[146]. Эту модель, назначение которой заключается преимущественно в облегчении понимания содержания и организации сетевого взаимодействия, можно представить в виде семиуровневого описания следующим образом (табл. 5.3).

Таблица 5.3.

Применение технологий электронного банкинга: риск-ориентированный подход

Приведенная классификация удобна помимо прочего и для выбора средств сетевой защиты, достаточно сравнить ее с выдержкой из рекомендательного материала Национального института стандартов и технологий США[147]: «Сетевые брандмауэры представляют собой устройства или системы, которые контролируют прохождение сетевого трафика между вычислительными сетями с разными состояниями информационной безопасности. В большинстве современных приложений брандмауэры и условия их функционирования рассматриваются в контексте „интернет-связности“ и применения протоколов ТСР/IР[148].

В то же время брандмауэры применяются и в сетевых архитектурах, которые не связаны с интернет-приложениями. К примеру, в вычислительных сетях многих компаний брандмауэры используются для ограничения связности с внутренними сетями (в обоих направлениях), в которых циркулирует „чувствительная“ к НСД информация: данные бухгалтерского учета или персональные данные. Эти устройства образуют дополнительные уровни информационной безопасности, которые иначе отсутствовали бы».

В настоящее время доступны несколько типов платформ брандмауэров, предлагаемых разными компаниями. Одним из способов сравнения возможностей этих платформ является их анализ с позиций модели ОSI и функционирования брандмауэра, использующего возможности разных ее уровней (абстрагирующие описание взаимодействия между компьютерными системами и сетевым оборудованием)[149]. Следует отметить, что данные адресации, по которым определяется конкретный компьютер, относятся к Уровню 2, они присваиваются сетевым интерфейсам и обозначаются аббревиатурой МАС[150]: примером может служить адрес сети Еthеrnеt, присвоенный конкретной сетевой плате. Уровень 3, на котором осуществляется доведение сетевого трафика в ЗВС, — в Еthеrnеt соответствует адресации по IР; такой адрес уникален, если отсутствует так называемая «трансляция сетевых адресов», с помощью которой под одним адресом данного уровня могут работать многие устройства (о значимости этих параметров еще будет сказано в параграфе 5.6 в связи с тем, что сведения о сетевом трафике — ценнейшая информационная основа для проведения расследований противоправной деятельности). Уровень 4 определяет сетевые приложения и сеансы связи. В отличие от адресации любая компьютерная система может иметь произвольное количество сеансов этого уровня с другими устройствами в той же вычислительной сети, в приложении к протоколу ТСР/IР здесь используется также понятие «порт», которое интерпретируется как указатель на сеансы взаимодействующих приложений (прикладных программ). Остальные уровни в этом рассмотрении не имеют принципиального значения, поскольку относятся к описанию таких программ и компьютерных систем пользователя.

Наиболее общий вариант предусматривает формирование DМZ (рис. 5.6) в вычислительных сетях с двумя брандмауэрами, разделяющими сетевые сегменты с возможностями внешнего доступа и доступа исключительно «изнутри». Граничный маршрутизатор фильтрует пакеты данных и обеспечивает защиту серверов во внешней зоне, тогда как первый брандмауэр предназначается для контроля доступа и защиты на случай, если эти сервера будут атакованы. Те сервера, которые требуется защищать от НСД и из внешней среды и из внутренней вычислительной сети, логично располагать между двумя брандмауэрами. Обычно DМZ реализуется с помощью сетевых коммутаторов, помещаемых между брандмауэрами или между брандмауэром и граничным маршрутизатором, при этом считается, что сервера удаленного доступа и точки входа в VРN лучше размещать в сетях с DМZ. Это позволяет уменьшить вероятность того, что внешние атаки смогут достичь внутренних сегментов, а с помощью брандмауэров будет усилен контроль доступа пользователей сети. В то же время управление конфигурациями такого рода и настройкой сетевых компонентов желательно документировать и контролировать «четырьмя глазами» в силу их значимости для кредитной организации как упоминавшихся ранее «виртуальных ворот» к ее СЭБ, БАС и информационным активам.

Применение технологий электронного банкинга: риск-ориентированный подход

В базовой конфигурации брандмауэры работают с малым числом сетевых уровней, усовершенствованные брандмауэры охватывают большее их число. В терминах функциональности последние более эффективны и предпочтительны. «Охват дополнительного уровня повышает „гранулярность“ конфигурации брандмауэра, т. е. он может осуществлять более детальный контроль и работать с большим числом прикладных программ и сетевых протоколов, а также стать клиент-ориентированным, выполняя проверку аутентичности». Брандмауэры, работающие только на уровнях 2 и 3, обычно для этого не пригодны, но более совершенные брандмауэры — прокси-шлюзы — могут обеспечивать опознавание и реагировать на шаблоны событий, ассоциируемых с клиентом. В кредитной организации целесообразно документально обосновать и установить уровни контроля сетевого трафика, распределив ответственность за настройку сетевых средств контроля и защиты и зафиксировав внутрибанковские документы, регламентирующие такие настройки и порядок их использования. К слову сказать, настройка брандмауэров является достаточно «тонкой» задачей, схожей с программированием, и для этого используются специалисты, обладающие необходимыми знаниями; их работу следует контролировать, поскольку неточности в такой настройке (допущенные случайно или намеренно) образуют «дыры» в сетевой защите кредитной организации, из-за чего ей и ее клиентам может быть нанесен значительный ущерб.

В современных условиях использования сетевых технологий в обеспечение банковской деятельности необходимой процедурой стало тестирование возможностей проникновения[151] в БАС и СЭБ кредитной организации (о чем упоминалось в главе 3 в связи с анализом жизненных циклов внутрибанковских процессов и автоматизированных систем). Такие процедуры целесообразно организовывать на основе официально принятых и документированных решений в кредитной организации, после чего для них специалистами службы ИТ и СБ при участии представителей ВК разрабатываются собственно тесты, контрольные примеры, программы и методики проведения тестирования, а также составляются итоговые документы (протоколы и акты). Для проведения таких тестов целесообразно использовать стендовые средства, аналогичные операционным в кредитной организации, с тем чтобы можно было отлаживать прикладные программы и проводить дополнительные испытания без вмешательства в текущую банковскую деятельность и ее приостановки для проведения очередных функциональных проверок.

Также следует отметить, что определение содержания, этапов, методик, средств тестирования и содержания итоговой отчетности по ним не должно оставаться неизменным на протяжении ЖЦ банковских автоматизированных систем и внутрибанковских процессов. Изменения в них обусловлены рядом причин: устареванием и компрометацией АЛО, внедрением новых технологий и систем электронного банкинга, возникновением нетипичных угроз надежности компьютеризованной банковской деятельности и т. д. Ввиду того что такие угрозы могут при неудачном стечении обстоятельств реализоваться в крупномасштабные инциденты информационной безопасности, сопоставимые по ущербу с форс-мажорными обстоятельствами, всей информации, которая имеет отношение к тестированию (особенно к его результатам), целесообразно официально придать статус сведений ограниченного распространения.

В плане контроля условий возникновения источников угроз кредитной организации и ее клиентам при использовании СЭБ необходимо обеспечить внедрение, функционирование и совершенствование внутрибанковского механизма обнаружения и фиксации свидетельств атакующих воздействий, а также сохранения «следов» и «образов» или, иначе, «шаблонов» атак[152] для их последующего анализа (в том числе комплексного). Этот механизм должен работать согласованно с процедурами доведения информации до руководства кредитной организации (например, в форме унифицированного отчета[153]) и принятия защитных мер. Он должен учитывать и реакции на вторжения, это один из механизмов снижения уровней компонентов банковских рисков, связанных с недостатками в ОИБ кредитной организации. Поэтому актуальными становятся управление, ведение и анализ системных логов.

Изложенный подход целесообразно расширить в направлении имитации инцидентов информационной безопасности в части моделирования угроз кредитной организации со стороны клиента и криминальных сообществ — в интересах поддержания, совершенствования и адаптации периметра информационной безопасности кредитной организации. Этому способствует статистический анализ ситуаций такого рода, при этом статистика набирается с помощью ее сервис-центра и в порядке ведения претензионной работы. Далее результаты этой работы следует использовать для улучшения ОИБ, совершенствования отношений с клиентами ДБО (включая уточнение текстов соответствующих договоров), модернизации моделей угроз надежности банковской деятельности и сценариев их развития (фиксируемых во внутренних документах кредитной организации по ОИБ) и т. п.

Следует заметить, что отмечавшаяся в комментарии к 4-му принципу управления рисками, приведенному в параграфе 5.2, возможность использования злоумышленниками специальных средств контроля сетевого трафика предполагает организацию противодействия со стороны кредитной организации. Такой контроль может вестись как пассивными («прослушка»), так и активными способами. Соответственно С Б такой организации целесообразно применять средства обнаружения «вторжения» в ее вычислительную сеть и контролировать сетевое пространство на предмет попыток перехвата конфиденциальной информации, НСД к банковским базам данных и программному обеспечению и других противоправных действий.

Наряду с рассмотренными мероприятиями в обеспечение надежности банковской деятельности необходимо строить многоуровневую, так сказать, «эшелонированную» систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня «работают» совместно. Надежность разнородных уровней защиты в первую очередь обусловлена тем, что, даже если каждому средству присущ какой-либо недостаток, эти недостатки не совпадают в эшелонированном периметре безопасности кредитной организации в целом; кроме того, появляется возможность «приобретения» совокупной квалификации, которая свойственна разным компаниям — разработчикам оборудования. Такой подход целесообразно четко отражать в «Политике обеспечения информационной безопасности» кредитной организации, распространяя его и на связанные с ней внутрибанковские документы и порядки, а при использовании нескольких систем ДБО, возможно, и в частных «политиках» такого рода.

Важно, чтобы руководство кредитной организации обеспечило условия совершенствования ОИБ по мере развития ДБО, при которых обеспечиваемая безопасность ее информационно-процессинговых ресурсов (в оптимальном варианте) соответствовала ее бизнес-моделям, критично важные файлы данных и программы были точно известны и особенно тщательно и контролируемо защищены от НСД и неавторизованного воздействия так, чтобы обеспечивалась действительно эффективная защита, учитывающая все возможные атаки. Необходимо наличие осознания и у исполнительных органов кредитной организации, и у ее специалистов по ОИБ того, что состояние «самоуспокоенности» — это серьезный дополнительный фактор риска, потому что, как отмечено в работе Сrumе /. Insidе Intеrnеt Sесuritу: «Невозможность взломать компьютерную систему или проникнуть в вычислительную сеть не означает, что она безопасна, — это означает только то, что она неуязвима в данный момент для конкретного набора атак, а может быть и только то, что ее недостаточно испытывали на неуязвимость». Во всяком случае, должны быть разделены функции управления и контроля, разработки/модернизации и эксплуатации банковских автоматизированных систем, как и их администрирование, равно как и вычислительных сетей, баз данных и информационной безопасности. Все это должно быть описано в «Политике информационной безопасности» и контролироваться независимой службой — ВК.

Здесь уместно привести две цитаты из так называемых официально установленных в США «Стандартов Безопасности и Надежности» банковской деятельности[154], а именно: «Каждый банк обязан осуществлять мониторинг, оценку и, при необходимости, корректировку Программы информационной безопасности в зависимости от затрагивающих соответствующие вопросы изменений в технологиях, значимости клиентской информации, внутренних или внешних угроз для информации, а также внесения банком изменений в свои деловые соглашения, таких как слияния и приобретения, совместная и партнерская деятельность, использование аутсорсинга и внесение изменений в клиентские информационные системы» и «каждый банк обязан как минимум ежегодно составлять для своего совета директоров или соответствующего комитета такого совета отчет с описанием общего состояния программы информационной безопасности и соответствия деятельности банка настоящим рекомендациям; в этом отчете следует рассмотреть значимые для этой программы вопросы, касающиеся: оценки риска, управления риском и соответствующих решений, отношений с провайдерами, результатов тестирования, нарушений безопасности и реакции на них, а также рекомендаций по внесению изменений в программу».

Эти законодательно закрепленные в США положения, возможно, было бы полезно использовать и отечественным кредитным организациям.

Наконец, целесообразно привести еще ряд соображений, высказанных в работе /. Сгите’а относительно учета в процедурах ОИБ, устанавливаемых в высокотехнологичной кредитной организации, некоторых специфических факторов возникновения дополнительных источников компонентов банковских рисков, о которых часто забывают, считая их незначительными:

1) брандмауэры — это только начало защиты. При организации сетевой защиты внимание уделяется преимущественно брандмауэрам. Это действительно критично важные компоненты защиты, но они защищают не от всех атак и не все атаки могут обнаружить;

2) не все «плохие парни» находятся вне организации. Предположение о том, что в организации все работники честные, а все мошенники действуют извне, далеко не всегда справедливо, примерно половина атак замышляются сотрудниками, хорошо знающими объекты атак и способными нанести гораздо больший ущерб, чем хакеры;

3) человек — самое слабое звено в компьютерной системе. Прочность цепи определяется ее слабейшим звеном; в компьютерном мире этим звеном может оказаться человек, которому «свойственно ошибаться», особенно при недостаточной квалификации, чем часто пользуются хакеры;

4) пароли могут оказаться незащищенными. Пароли используются для идентификации личностей чаще всего, но это одно из наиболее слабых мест в защищаемых компьютерных системах, вследствие чего защита должна быть комплексной и контролируемой;

5) хакеры могут незаметно наблюдать за деятельностью. Прослушивание сетевого трафика или перехват передаваемой по вычислительной сети информации может раскрыть более чем достаточно сведений для хакера, стремящегося к получению прав и полномочий наиболее высокого уровня. Такие атаки являются пассивными, вследствие чего их трудно обнаружить, поэтому целесообразно применять средства обнаружения «прослушки» в вычислительных сетях;

6) устаревшее программное обеспечение уязвимо. Давно используемое программное обеспечение хорошо изучено хакерами, и его недостатки, обычно известные хакерскому сообществу, легко могут быть использованы в хорошо известных атаках. Необходимо постоянно следить за обновлением версий программного обеспечения технических средств, защищающих сетевые ресурсы, и разработать соответствующий порядок обновления;

7) установки по умолчанию могут быть опасны. Многие программно-технические средства часто поставляются с системными предустановками, которые хорошо известны хакерам (логины, пароли и т. д.). Следует отключить функции и сменить внутрисистемные установки;

8) лучше всего жуликов ловят другие жулики. Защита должна быть не «реактивной», а «проактивной». Необходимо представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого строится система обеспечения информационной безопасности, определяются методы и средства защиты данных и операций;

9) средства защиты от вирусов обычно неадекватны. Средствами антивирусной защиты или регулярностью их обновления часто пренебрегают. В то же время достаточно одной «удачной» атаки, чтобы нарушить или разрушить бизнес. Необходимо определить порядок и регламент работ с антивирусными средствами, назначить ответственных и контролирующих, обучить и контролировать пользователей;

10) «активное содержимое» может быть активнее, чем кажется. Такие средства формирования «активного контента», т. е. динамического и интерактивного содержания wеb-страниц, как Jаvа, JаvаSсriрt, АсtivеХ могут использоваться и для скрытого вредоносного воздействия на компьютерные системы, краж данных и т. д. Часто полезно отключать их;

11) надежная вчера криптозащита ненадежна сегодня. Само по себе шифрование сообщений не гарантирует от их несанкционированного прочтения. По мере роста вычислительной мощности компьютеров и с применением распределенного подхода вероятность взлома повышается. Необходимо следить за устареванием средств криптозащиты;

12) «дверь черного хода» может оказаться открытой. Брандмауэры по периметру вычислительной сети защищают от сетевых проникновений, но не от атак через модемы, особенно несанкционированные. Необходимо следить за действиями пользователей и попытками такого проникновения через «дыры» в защите, проводя аудит линий связи;

13) не может быть «безвредных» атак. Даже если хакеру не удается нанести ущерб, скопировать какие-то данные или украсть деньги, сам факт проникновения может стать известен и негативно сказаться на «бренде» организации, вызвав в конце концов и одинаковые потери;

14) у хакеров прекрасное светлое будущее. Хакеров становится все больше, средства взлома всегда доступны на их wеb-сайтах и совершенствуются. Необходимо периодически пересматривать политику безопасности.

Мало того, «выиграть у хакеров невозможно, потому что у нормальных людей есть нормальные человеческие потребности: они работают, едят, пьют, спят, гуляют с девушками и т. д., а хакера все это не интересует — он живет только ради несанкционированного доступа и занимается только и исключительно этим круглосуточно».

В целом ЖЦ ОИБ должен поддерживать набор типовых внутрибанковских процедур, в состав которых целесообразно включать (как минимум):

Разработку мер по ОИБ при принятии решения о внедрении новой банковской информационной технологии (в первую очередь ТЭБ), т. е. документально оформленное требование участия в проектировании, разработке, ПСИ, эксплуатации, модернизации и замене банковских автоматизированных систем;

Контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которые закладываются новые средства ОИБ и (или) модернизируются уже существующие, т. е. участие в ПСИ любого уровня, начиная со стадии подготовки программ и методик этих испытаний для банковских автоматизированных систем;

Регулярную проверку функциональности и надежности средств ОИБ, т. е. участие в проверках функционирования этих средств и тестировании банковских автоматизированных систем, систем электронного банкинга, а также компьютерных систем и телекоммуникационных сетей;

То же — в отношении изучения состояния дел с ОИБ у провайдеров кредитной организации, с позиций оценки значимости инцидентов информационной безопасности (совместно с другими службами этой организации);

Обеспечение адаптации мер по ОИБ при модификации действующих банковских автоматизированных систем и систем электронного банкинга и (или) выводе их из эксплуатации и замене, т. е. участие в их модернизации с проведением имитационного тестирования;

Проведение проверок выполнения требований по ОИБ, изложенных в «Политике обеспечения информационной безопасности» кредитной организации и связанных с ней внутрибанковских документах.

Эти процедуры целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой или предполагаемой для внедрения кредитной организацией, не забывая, что каждая из них после внедрения создает своего рода «виртуальные ворота» для доступа к ее информационно-процессинговым ресурсам. Очевидно, что доступ к этим ресурсам должен иметь только и исключительно легитимный пользователь, располагающий точно определенными правами и строго ограниченными полномочиями доступа. Необходимо подчеркнуть, что работа по обеспечению соблюдения таких ограничений и регулярному подтверждению их реального наличия независимо от конкретных банковских информационных технологий (в первую очередь — технологий ДБО) является одной из важнейших внутрибанковских процедур в части ОИБ и защиты банковских и клиентских данных.

5.5. Адаптация внутреннего контроля.

Такой вид деятельности, как внутренний контроль, исторически складывался в качестве механизма выявления и предотвращения случаев мошенничества или хищений, а также ошибок. Однако к настоящему времени сфера его применения существенно расширилась, охватывая разнообразные риски, связанные с банковской деятельностью кредитных организаций, а все перечисленное выше постепенно становится прерогативой формирующегося процесса ФМ (пока еще считающегося специализированной процедурой — компонентом процесса ВК). Изменение характера банковской деятельности, выражающееся в интенсивном использовании ДБО, разных вариантов ИКБД и обширных зональных сетей банкоматов и платежных терминалов, неизбежно приводит к необходимости включения в состав процесса ВК новых процедур, предназначенных для учета в процессе УБР возникновения новых угроз надежности банковской деятельности. Тем не менее многие отечественные кредитные организации, стремящиеся расширять спектр услуг ДБО, не успевают адаптировать к ним свой ВК ни как работу специальной службы, ни как функционирование СВК, что препятствует эффективному парированию таких угроз и поддержанию контроля со стороны руководства кредитной организации над смещениями ее профиля риска.

Во многих материалах зарубежных органов банковского регулирования и надзора отмечается, что новации в сфере ИТ, трансграничная банковская деятельность и глобализация финансовых рынков способствуют существенному повышению вероятности реализации системных рисков, т. е. проявлению их на уровне банковского сектора. Особенно озабоченность качеством ВК в различных организациях характерна для США, где для обеспечения адекватности контрольных функций такого рода были даже приняты специальные федеральные законы, известные по фамилиям их создателей как акты Грэма-Лич-Блайли и Сарбанеса-Оксли[155]. В первом из них акцент сделан на контроле обеспечения конфиденциальности и целостности клиентской информации, во втором — на корпоративной ответственности, контроле достоверности финансовой информации и аудите систем ВК. В обоих законодательных актах серьезное внимание обращалось на адекватность и эффективность систем и средств ВК в части применения ИТ и корпоративных систем управления рисками.

В этих актах нашло отражение осознание значимости ИТ для современных учреждений разного рода и того, что сами эти технологии формируют условия и для внедрения новых способов управления рисками, и для ВК, отвечающего за мониторинг процедур выявления, анализа банковских рисков и управления ими. Технологии ВК вместе с реализующими ее методами и средствами устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, что означает потребность в их модернизации. Вследствие этого процесс ВК, акцентированный на применении ИТ, становится неотъемлемой частью всей инфраструктуры кредитной организации (при этом считается, кстати, что расходы на его обеспечение целесообразно определять исходя из возможностей парирования финансовых потерь, обусловленных реализацией банковских рисков, особенно это справедливо в усложнившихся условиях использования ДБО). Важно подчеркнуть, что ролевые функции в составе процесса ВК, во-первых, стали распределяться между подразделениями современных кредитных организаций, во-вторых, существенно усложнились ввиду перемещения процедур бухгалтерского учета и подготовки банковской отчетности в виртуальное пространство, значительного расширения тематику ОИБ с возникновением ранее отсутствовавших проблем, ростом значимости адекватного решения вопросов ФМ и т. д.

Однако даже это принципиальное усложнение состава задач службы ВК их состав не исчерпывает. Дело в том, что в современных технологиях ДБО велика роль провайдеров кредитных организаций, от которых, как уже отмечалось, во многом зависит надежность банковской деятельности — в восприятии удаленных клиентов; да и для самих этих организаций надежность провайдеров с точки зрения обеспечения гарантий уровня обслуживания часто бывает критично важной. В то же время вопросы контроля надежности провайдеров, определения требований к взаимоотношениям кредитных организаций с провайдерами, управления этими отношениями со стороны первых, оценки уровня обслуживания и ряд других остаются неурегулированными в законодательном плане[156]. Необходимо осознание руководством кредитной организации того, что внедрение технологий электронного банкинга радикально изменяет (расширяет) содержание внутреннего контроля, так что если он не подвергнется модернизации, то кредитные организации вряд ли смогут аргументированно доказать его адекватность изменившимся условиям осуществления ВК.

Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве[157].

В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.

Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:

Выполнение банковских операций и сделок;

Подготовка регламентной банковской отчетности;

Оценка соответствия установленным требованиям.

Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLА с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.

Таким образом, для адаптации процесса ВК, как неотъемлемой составляющей банковской деятельности, целесообразно известное переосмысление, в отношении конкретных процедур, составляющих этот процесс и определяемых требованиями оптимизации ППР в части УБР электронного банкинга. Тем более что ни БКБН, ни другие зарубежные органы банковского регулирования и надзора не предлагают новых материалов, которые устанавливали бы прямые связи между особенностями ВК при использовании современных банковских информационных технологий. В анализировавшемся выше материале БКБН[158], посвященном принципам управления рисками при электронном банкинге, упоминалось, что для обеспечения эффективного ВК над ТЭБ нужен постоянный адекватный контроль со стороны руководства кредитной организации и что один из важнейших принципов ВК — это разделение обязанностей. Во введении к не рассматриваемому здесь и более раннему, а потому уже не во всем актуальному руководству по этой же теме было сказано, что «…эффективные средства внутреннего контроля являются критичным компонентом банковского менеджмента и основой безопасного и надежного функционирования банковских организаций». При этом, впрочем, не было определено понятие эффективности и не обосновывалась значимость ВК как такового для безопасной и надежной банковской деятельности кредитных организаций. Несмотря на важность перечисленных в упомянутой работе положений, их все-таки недостаточно для имеющего прикладное значение анализа изменений в ВК, связанных с ТЭБ.

Тем не менее основания для методических разработок, адаптирующих ВК к переходу к ДБО, можно найти, если попытаться интерпретировать разработки зарубежных органов банковского регулирования и надзора в области ВК, в частности материалы БКБН, с позиций учета состава и влияния факторов возникновения дополнительных компонентов банковских рисков, ассоциируемых с ДБО, а также специфики возникновения и проявления источников этих компонентов. В последний раз БКБН в своих публикациях уделял внимание принципам организации и осуществления ВК в кредитных организациях в 1998 г.[159] С тех пор каких-либо новых рекомендаций по этой тематике в адрес кредитных организаций не поступало, несмотря на то что за прошедшие годы в банковской сфере произошли значительные изменения, особенно в части сервисных технологий банковской деятельности, основывающихся на разнообразном АПО ДБО. Как бы то ни было, упомянутый материал, обрисовывающий общую схему ВК в кредитной организации, вполне пригоден для интерпретации в отношении электронного банкинга.

Рассматриваемая работа (далее — Рекомендации) была ориентирована, как заявлялось, на «совершенствование банковского надзора с помощью рекомендаций, способствующих надежному управлению рисками». В ней была определена общая схема оценивания органом банковского надзора СВК кредитной организации, а фактически — модель СВК, признаваемая этим органом, которая базировалась на 13 принципах, предназначенных для использования как при совершенствовании банковского надзора, так и при оценивании системы ВК кредитной организации. Как было сказано во введении к этому материалу, «эти принципы имеют общий характер, и органам надзора следует использовать их при оценке своих собственных методов и процедур надзора для мониторинга организации банками своих систем внутреннего контроля». Одновременно однозначно указывалось на то, что «данные принципы предоставят полезную схему для эффективного надзора за системами внутреннего контроля». Таким образом, очевидно, что назначение принципов изначально полагалось двояким.

Постулировалось также, что в этом материале «описаны безусловно необходимые компоненты надежной системы внутреннего контроля», хотя в явной форме эти компоненты не предлагались банкам как обязательные для реализации. Следует, кстати, отметить, что однозначных предложений такого рода в документах БКБН вообще не встречается, и разговор обычно ведется с позиций пруденциальной организации внутрибанковских процессов, систем и процедур, реализуемых такими системами, и так называемой «лучшей практики» (без ее определения, естественно). Учитывая «надзорный» характер работы службы ВК в кредитной организации, легко прийти к заключению о пригодности рассматриваемых рекомендаций и их интерпретации для определения содержания процесса ВК в высокотехнологичной кредитной организации.

Можно заметить, что БКБН изначально строит свои Рекомендации так, как будто организация и содержание деятельности СВК в кредитных организациях совершенно не зависят от того, какие именно банковские информационные технологии ими применяются. С этим вполне можно было бы согласиться, но только в случае рассмотрения проблематики ВК с самых общих позиций. В то же время, находясь на таких позициях, в условиях ДБО невозможно определить не только четкие требования к внутрибанковским процессам и процедурам, так или иначе связанным с ВК, но даже пути и подходы к их организации, не говоря уже о такой «конкретике», как, например, квалификационные требования к персоналу СВК, его профессиональной подготовке и к сопровождению ДБО. В рассматриваемом материале прямо сказано, что «данное руководство не акцентируется на специфических областях или деятельности банковской организации», поскольку конкретная реализация ВК «зависит от характера, сложности и рисков, связанных с деятельностью определенного банка». В то же время в основаниях для излагаемого БКБН подхода отмечается, что «…системы контроля, хорошо работающие в случаях предоставления традиционных или простых услуг, могут оказаться непригодными при предоставлении более сложных или комплексных услуг». Тем не менее содержание ВК концентрируется именно на деятельности кредитной организации (а не только на выполняемых ею операциях) и служит управлению ею (хотя и опосредованно, но явно — в плане ИСУ и ППР), а поэтому возникает закономерный вопрос: как все-таки учитывать в его проведении характер, сложность и риски, связанные с электронным банкингом?

Ниже проводится рассмотрение предлагаемых БКБН принципов, описывающих организацию ВК, которые каждая кредитная организация может использовать для формирования собственной действенной методики осуществления ВК (изложив ее во внутренних документах, представляемых службе банковского надзора) и дополнения ее такой методикой выявления, оценки, анализа, мониторинга банковских рисков и управления ими, которая будет максимально учитывать особенности построения банковских автоматизированных систем, архитектур их вычислительных сетей, систем электронного банкинга и АЛО, на котором эти системы базируются. Сказанное относится и к реинжинирингу СВК кредитной организации в целом в связи с внедрением ТЭБ, что определяется решениями ее высшего руководства в соответствии с внутрибанковским мета-процессом, связанным с переходом к ДБО.

Принцип 1. Совет директоров должен нести ответственность за утверждение и периодическую проверку общей бизнес-стратегии и наиболее важных политических решений для банка, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков и гарантирование того, что высшее руководство принимает необходимые меры для идентификации, измерения, мониторинга и контроля этих рисков, утверждение организационной структуры, а также обеспечение мониторинга со стороны высшего руководства эффективности системы внутреннего контроля. Совет директоров является в конечном счете ответственным за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля.

Анализируя содержание этого принципа, можно предположить, что система ВК может считаться эффективной, если в результате ее работы агрегированный риск, принимаемый кредитной организацией, окажется равным так называемому «чистому риску», который определялся ранее. Отсюда следует вывод, что в руководящие органы этой организации должны входить специалисты, разбирающиеся и в банковских рисках, и в их источниках, и в измерении рисков, и в мероприятиях по воздействию на источники рисков с целью исключения или снижения их влияния на результаты принятия решений (в рамках ПСУ). В органах банковского регулирования и надзора США считается, что такие руководители в административной иерархии кредитной организации соответствуют по уровню вице-президенту и менеджеру отдельного бизнес-направления (который определяется как «Сhiеf Ехесutivе Оffiсеr»[160]).

В комментариях к этому принципу отмечается, что «совету директоров банка рекомендуется включить в свою деятельность в части ВК:

1) регулярное обсуждение с руководством эффективности системы ВК;

2) своевременные запросы оценок средств ВК со стороны руководства, внутренних и внешних аудиторов;

3) периодический контроль выполнения руководством рекомендаций аудиторов и надзорных органов по устранению недостатков В К;

4) периодическую проверку следования стратегии банка и ограничению уровней банковских рисков».

Здесь же упоминается возможность формирования в помощь совету директоров кредитной организации дополнительного контрольного органа — «аудиторского комитета», который «должен состоять из независимых директоров, имеющих представление о финансовой отчетности и средствах ВК». В обязанности этого комитета входят контроль финансовой отчетности и наблюдение за функционированием СВК. По-видимому, в дальнейшем (в формулировке принципа 11) именно эта функция обозначается как «мониторинг внутреннего контроля». Однако одновременно говорится, что «аудиторский комитет, как правило, наблюдает за деятельностью департамента внутреннего аудита банка, непосредственно взаимодействует с ним, а также осуществляет основное взаимодействие с внешними аудиторами». Про СВК не сказано ничего, вследствие чего ситуация с множащимися контрольными органами представляется несколько запутанной.

Как бы то ни было, относительно электронных банковских технологий сказанное выше означает, что и в совете директоров кредитной организации, и в ее высшем руководстве (да, пожалуй, и в аудиторском комитете) крайне желательно присутствие таких специалистов, которые имеют представление о распределенных компьютерных системах в целом, о построении информационных контуров банковской деятельности и о тех угрозах безопасности, целостности операций и данных, как факторах риска, которые типичны для таких контуров (что позволяет провести параллели с материалом в Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing). На практике такая компетентность проявляется по-разному: в принятии обоснованных стратегических решений относительно внедрения технологий ДБО как таковых и их отдельных вариантов (в общем случае, с исключением повышения уровней банковских рисков, рассматривавшихся в главе 2), проведения соответствующей маркетинговой компании, определения тарифных планов, содержания договоров с клиентами, контрагентами и другими провайдерами (с позиций удержания уровней типичных банковских рисков в допустимых пределах), реализации функций ОИБ, ВК и ФМ и т. п. При этом само понятие адекватности ВК предполагает, что все перечисленное будет относиться и ко всем видам банковских операций, выполняемых кредитной организацией, и к предоставляемым ею видам обслуживания клиентов, причем с помощью всех используемых средств автоматизации этого обслуживания (ИКБД). Наконец, предполагается, что конкретные представители высшего руководства кредитной организации способны предъявить требования как к составу и организации СВК, так и к составу используемого АПО, а также убедиться в том, что эти требования реально выполняются (сказанное относится к так называемому «мониторингу системы ВК», о чем идет речь в Положении 242-П).

Принцип 2. Высшее руководство должно нести ответственность за реализацию стратегии и политики, утвержденных советом директоров, разработку процессов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком, поддержание организационной структуры, обеспечивающей четкое распределение ответственности, полномочий и подотчетности, гарантирование эффективного выполнения делегированных полномочий, внедрения надлежащей политики внутреннего контроля, а также мониторинг адекватности и эффективности системы внутреннего контроля.

В комментариях к этому принципу постулируется, что высшее руководство кредитной организации несет ответственность за выполнение директив совета директоров, включая реализацию стратегии и политики, а также за организацию эффективной СВК. Вместе с тем указывается, что «члены высшего руководства обычно делегируют ответственность за внедрение специальной политики и процедур ВК, связанных со специфической деятельности тех или иных подразделений банка, на руководителей этих подразделений, при сохранении наблюдения над ними». Здесь заложено (и далее просматривается практически во всех остальных принципах) коренное отличие от подхода к организации ВК в отечественных кредитных организациях, а именно «распределение» функций ВК практически по всему персоналу кредитной организации вместо формирования в ней специализированного подразделения В К, подчиняющегося непосредственно высшему руководству и являющегося ядром СВК[161].

В то же время, поскольку применение ТЭБ затрагивает работу нескольких структурных подразделений кредитной организации, логично использовать аналогичное предложенному БКБН распределение функций ВК. Чтобы процесс ВК автоматизированной и распределенной через ИКБД банковской деятельности охватывал все внутрибанковские процессы, процедуры и функции, выполняемые кредитной организацией, наряду с внутренними и внешними взаимосвязями, служба ВК должна располагать возможностями, механизмами и средствами адекватного информационно-аналитического обеспечения своей деятельности. Следствием этого становится гарантированно полное и своевременное информационное обеспечение руководства организации, без которого невозможно принятие правильных решений в отношении выявления, анализа, мониторинга источников компонентов банковских рисков и управления ими. Поэтому, учитывая ролевую функцию службы ВК в процессе ППР, логично рассматривать эту службу как некий информационно-аналитический центр, оснащенный «датчиками», расположенными в других подразделениях кредитной организации, имеющих отношение к осуществлению и обеспечению ДБО. При этом структура СВК может быть условно представлена схемой на рис. 5.7.

Применение технологий электронного банкинга: риск-ориентированный подход

Здесь СВК интерпретирована как служба ВК с элементами ВК, внедренными в функциональные процессы других структурных подразделений кредитной организации.

Все перечисленные во втором принципе меры должны быть документированы, и важность этого подчеркивается в Рекомендациях, равно как и значимость доведения политики кредитной организации и описаний организованных в ней процессов и процедур до ее персонала, что важно для иерархии полномочий и подотчетности. При этом обращается внимание на то, что «…распределение обязанностей и ответственности должно быть таким, чтобы гарантировалась непрерывность подотчетности и чтобы эффективный управленческий контроль распространялся на все уровни банка и виды его деятельности». Надо заметить, что для охвата всего ИКБД документарное обеспечение должно быть весьма развитым, для высшего руководства это означает также и развитый внутрибанковский механизм, с помощью которого будет осуществляться управленческое наблюдение — решение о его создании требует коллегиального принятия и реализации.

Принцип 3. Совет директоров и высшее руководство отвечают за поддержание высоких стандартов этики и честности, а также за внедрение такой культуры в организации, которая подчеркивала бы и демонстрировала бы важность внутреннего контроля для персонала всех ее уровней. Все сотрудники банковской организации должны понимать свою роль в процессе внутреннего контроля и быть полностью вовлечены в этот процесс.

В условиях электронного банкинга поддержание стандартов, о которых говорится в третьем принципе, становится непростой задачей, во-первых, из-за специфики информационного взаимодействия между кредитной организацией и ее клиентами через киберпространство, во-вторых, из-за возможности НСД, как говорят, к «чувствительной» клиентской информации, мошеннических действий, хищений финансовых средств и скрытого осуществления «сомнительных» финансовых операций. Поскольку проявление «человеческого фактора» предвидеть крайне трудно, руководству высокотехнологичной кредитной организации лучше не уповать на честность, а позаботиться о максимально широком соответствии банковской деятельности и условий использования каждой СЭБ принципу «четырех глаз». Не менее важна разработка полноценных программ ВК (особенно в части аудита ИТ), охватывающих все каналы ДБО, информационные сечения между автоматизированными системами, сетевые кабельные подключения и автоматизированные рабочие места персонала (прежде всего те, которые предназначены для выполнения функции администрирования информационно-процессинговых ресурсов организации).

Акцент на этом целесообразно сделать в положениях о СБ и о службе ВК, а также отразить соответствующий подход в «Положении о системе внутреннего контроля» кредитной организации, «Положении об управлении банковскими рисками» и «Политике обеспечения информационной безопасности». Надо подчеркнуть, что внедрение каждой новой ТЭБ и реализующей ее СЭБ, даже если такие системы однородны (как, например, системы интернет-банкинга для юридических и физических лиц), должно бы сопровождаться проявлениями мета-процесса в отношении упомянутых документов и процедур в составе соответствующих внутрибанковских процессов. Впрочем, сказанное здесь не исключает пропагандирование моральных и этических корпоративных ценностей, только в условиях применения ТЭБ его лучше строить таким образом, чтобы не натолкнуть кого-либо из ответственных исполнителей на мысль об использовании возможностей виртуального пространства в личных целях, отличающихся от корпоративных.

Принцип 4. Чтобы система внутреннего контроля была эффективной, требуется распознавать и постоянно оценивать материальные риски, которые могут негативно повлиять на достижение целей банка. Это оценивание должно охватывать все риски, с которыми сталкивается банк и консолидированная банковская организация (а именно, кредитный риск, страновой и трансферный риск, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и репутационный риск). Может потребоваться пересмотр средств внутреннего контроля в интересах правильного реагирования на новые или ранее неконтролируемые риски.

В комментариях к этому принципу говорится следующее: «Банки заняты бизнесом, связанным с принятием рисков. Поэтому принципиально важно, чтобы в рамках системы внутреннего контроля эти риски распознавались и оценивались на постоянной основе. С позиций внутреннего контроля при выявлении рисков должны идентифицироваться и оцениваться внутренние и внешние факторы, которые могут негативно повлиять на достижение функциональных, информационных и правовых целей банковской организации». В этом принципе намечено нечто более конкретное сравнительно с предыдущими — эффективность включает выявление, распознавание + непрерывное оценивание всех материальных рисков, без чего эффективность не может быть достигнута (приведенный состав банковских рисков отличен от предложенных в книге).

Указывается также, что «эффективное выявление рисков предполагает идентификацию и изучение внутренних факторов (таких как сложность организационной структуры, характер банковской деятельности, качественный состав персонала, организационные изменения и текучка кадров), равно как и внешних факторов (таких как вариации финансовых условий, изменения в данной сфере и технологические усовершенствования), которые способны негативно повлиять на достижение банком своих целей». При этом выявление риска следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе — в случае многофилиальных организаций (о чем дополнительно будет сказано в параграфе 5.6). Остальное содержание этого принципа, по существу, уже было прокомментировано в параграфе 5.2.

Принцип 5. Работа по осуществлению контроля должна входить в повседневную деятельность банка. Чтобы система внутреннего контроля была эффективной, требуется должная структура контроля с определением контрольных мероприятия для каждого уровня бизнеса. В их число следует включить проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.

Этим принципом введен еще один компонент, определяющий эффективность ВК, — должная структура контроля. Это означает, что с самого начала контрольная деятельность планируется и реализуется для снижения уровней рисков, которые банк идентифицирует. Такая деятельность осуществляется в два этапа: 1) разработка соответствующей «политики» и процедур контроля; 2) подтверждение того, что указанные политика и процедуры действуют. Контролем также предлагается охватывать все уровни персонала в кредитной организации: от высшего руководства до операционистов. В комментариях к этому принципу электронные банковские технологии не упоминаются, а значит, банковские специалисты, входящие в СВК, в случае внедрения конкретной ТЭБ должны руководствоваться своими представлениями, а высшему руководству ВК придется принимать решение относительно степени адекватности новых подходов к его осуществлению принципам БКБН. Можно представить также квалификационные требования к таким специалистам. В Рекомендациях приведены следующие примеры контрольной деятельности:

проверки высшего уровня — совет директоров и высшее руководство требуют отчеты о работе, позволяющие проверять, насколько текущая деятельность в банке соответствует поставленным целям. При этом имеет место интенсивное взаимодействие с менеджерами среднего звена, в ходе которого могут выявляться недостатки в контроле, ошибки в отчетности или мошенничества;

средства оперативного контроля — руководство департаментов или управлений получает и проверяет стандартизованные отчеты о текущей работе на ежедневной, еженедельной или ежемесячной основе в зависимости от особенностей бизнес-направлений. Собственно контроль реализуется при взаимодействии руководства с отчитывающимся персоналом по схеме «вопрос — ответ»;

средства физического контроля — они обычно ориентированы на ограничение доступа к активам, включая наличные и ценные бумаги. В собственно деятельность включены физические ограничения, двойная защита и периодическая инвентаризация;

соблюдение установленных ограничений — имеется в виду подверженность риску, например, установление лимитов для заемщиков (в плане кредитного риска) и диверсификация профиля риска[162];

утверждение и авторизация — в отношении конкретных транзакций, особенно выходящих за установленные пределы, трактуется как информирование руководства соответствующего уровня, утверждающего эти действия, о том, что такие случаи имеют место.

Эти и другие, менее существенные действия ставят перед ВК серьезные задачи. К примеру, необходимо убедиться в том, что формируемые из виртуального пространства БАС финансовые и другие отчеты (неважно, с какой периодичностью) содержат достоверную информацию. В СВК в этом случае необходимо включать внедренные в СЭБ и БАС средства подтверждения целостности записей в компьютерных базах данных, файлах системных и аудиторских журналов и пр. и собственные средства проверки при необходимости выполнения правил учета, обработки, хранения ордеров клиентов. Если же какой-либо клиент осуществляет крупные и (или) сомнительные операции, подпадающие под юрисдикцию службы ФМ (о чем, кстати, в Рекомендациях ничего не сказано, хотя ПОД/ФТ охватило весь мир), то, в общем случае, необходимы средства автоматизированного программного контроля в БАС, а следовательно, их надо проектировать, разрабатывать, проверять, равно как определять возможности контроля их функционирования, предусмотрев в АС соответствующие «контрольные точки» и индикаторы, сообщающие о подозрительных операциях, и многое другое.

В добавление к сказанному отмечается, что «…руководство банка обязано регулярно убеждаться в том, что работа на всех участках банка ведется в соответствии с установленными политикой и процедурами, а те в свою очередь остаются адекватными. В этом обычно заключается главная роль функции внутреннего аудита». Учитывая комментарии к первому принципу, нетрудно представить требуемый уровень компетентности руководства кредитной организации и службы ВК, равно как и ее специалистов, а также требования к их технологическому и техническому оснащению, программам и методикам проведения проверок и т. п.

Принцип 6. Чтобы система внутреннего контроля была эффективной, требуется надлежащее разделение обязанностей. На персонал не должны возлагаться конфликтующие обязанности. Области потенциальных конфликтов интересов следует идентифицировать, минимизировать и обеспечить их тщательный независимый мониторинг.

Этим принципом определяется еще один компонент эффективности ВК — надлежащее разделение обязанностей, которое предназначено прежде всего для снижения вероятности финансовых потерь. Смысл его в том, чтобы лица, осуществляющие управление финансовыми средствами, не могли тайно воспользоваться ими в личных целях, а лица, ответственные за операции, следствием которых могут быть финансовые потери, не имели возможности их скрыть. Этот принцип подтверждает целесообразность активного участия службы ВК (и СБ) в ЖЦ внедряемой СЭБ с самого начала, чтобы предусмотреть правильное разделение прав и полномочий доступа к внутрибанковским компьютерным системам, операционному программному обеспечению, файлам банковских данных и регламентных отчетов, а также наличие физических и логических (программных) средств ограничений возможностей пользователей БАС и СЭБ вместе с порядками их внедрения, сопровождения, изменения и т. п. Тем самым будет оказано содействие требуемому разделению обязанностей с «контрольного» уровня, учитывая, что в части идентификации и минимизации таких проблемных областей конкретных предложений в Рекомендациях нет, а мониторинг их должен осуществляться «независимой третьей стороной».

Кроме того, в комментарии к этому принципу сказано, что «.. должны осуществляться периодические проверки обязанностей и функций основных исполнителей, чтобы у них не было возможностей скрыть непредусмотренные действия». Фактически такие процедуры реализуются действиями администраторов автоматизированных систем и информационной безопасности, поэтому к ним, к их должностным обязанностям (равно как и к их исполнению) руководству кредитной организации целесообразно привлекать внимание службы ВК, не забывая о значимости следования принципу «четырех глаз». Последнее необходимо документировать в положениях о «заинтересованных» структурных подразделениях кредитной организации и должностных инструкциях ответственных исполнителей, о чем также логично позаботиться исполнительным органам, которые руководствуются содержанием упоминавшегося внутрибанковского мета-процесса.

Принцип 7. Чтобы система внутреннего контроля была эффективной, требуется адекватная и полная внутренняя финансовая, операционная и правовая информация, равно как и внешняя рыночная информация о событиях и условиях, которые следует учитывать при принятии решений. Информация должна быть надежной, своевременной, доступной и предоставленной в требуемом формате.

В комментариях к этому принципу, кроме повторения его содержания, говорится только о том, что должны иметься процедуры для поддержания и сохранения записей (какие и каких — не уточняется). Исходя из изложенного в главах 3 и 4, руководству и специалистам ВК целесообразно вместе с сотрудниками подразделений ИТ и СБ определить внутрисистемные информационные сечения и контрольные точки, в которых они смогут считывать требуемую им контрольную информацию (помимо упоминавшихся типовых процедур организационного и документарного характера). Состав соответствующих финансовых, операционных, клиентских и служебных (и сеансовых — в случае ДБО) данных предпочтительно зафиксировать документально и, скорее всего, оформить как сведения ограниченного распространения. Необходимо помнить, что методы и содержание проверок не должны быть общедоступными, чтобы знания о них не были использованы в попытках осуществления противоправных действий или сокрытия совершенных ошибок, для чего любая ТЭБ и виртуальное пространство БАС зачастую предоставляют разнообразные возможности.

Принцип 8. Чтобы система внутреннего контроля была эффективной, требуются надежные информационные системы, охватывающие все важные направления деятельности банка. Эти системы, включая те, в которых данные хранятся и используются в электронной форме, должны быть защищены, независимо контролируемы и поддержаны адекватными мерами на случай непредвиденных обстоятельств.

Критическим компонентом обеспечения надежности банковской деятельности является организация и сопровождение ИСУ, которая охватывает все процессы в кредитной организации. В Рекомендациях отмечается, что «банки должны уделять особое внимание… требованиям внутреннего контроля, относящимся к обработке информации в электронной форме и наличию адекватных аудиторских записей. От плохо спроектированных и недостаточно контролируемых систем может поступать ненадежная и вводящая в заблуждение информация, что способно негативно повлиять на принятие решений руководством». Там же говорится о необходимости принимать меры для обеспечения бесперебойной работы информационных систем, чтобы избежать прерывания операций и возможных потерь. Поскольку в настоящее время банковские компьютерные системы стали распределенными, особенно за счет вовлечения в обработку транзакций и данных организаций-провайдеров, число факторов риска увеличилось, и соответственно могут значительно возрасти уровни банковских рисков, связанных как с автоматизированными системами, так и с ИКБД в целом. Поэтому пропорциональное расширение сферы ответственности ВК неизбежно, поскольку, несмотря на решения части задач подразделением ИТ и СБ, первое из них, как правило, уделяет больше внимания БАС и СЭБ, а второе — вопросам инкассации и физической безопасности кредитной организации. При этом критично важным становится ведение системных логов и аудиторских трейлов, в файлах которых фиксируются операции пользователей БАС и СЭБ. Но даже при полном охвате этими службами всех функциональных участков электронного банкинга необходим внешний по отношению к их деятельности контроль, который является прерогативой ВК.

В Рекомендациях поясняется, что средства контроля над информационными системами и технологиями должны включать как общие, так и прикладные средства. Под общими средствами контроля понимаются те, которые относятся к компьютерным системам (например, мэйнфреймам и серверам, взаимодействию клиент — сервер, сетевым экранам, рабочим станциям и т. п.) и обеспечивают их непрерывное правильное функционирование. Общие средства контроля включают внутрибанковские процедуры мониторинга и восстановления функционирования, политику информатизации (разработки и приобретения программного обеспечения), процедуры сопровождения (контроля изменений), также средства контроля физического/логического доступа к БАС, СЭБ, ЛВС, ЗВС и пр. Прикладные средства (в соответствии с Положением 242-П) имеют вид «встроенных в служебное программное обеспечение или выполняемых вручную процедур, которые контролируют обработку транзакций и деловые операции. В прикладные средства контроля входят, например, проверка ввода и специфическое управление логическим доступом, уникальное для той или иной системы». При отсутствии адекватных средств контроля над информационными системами и технологиями, включая разрабатываемые системы, банки подвергаются опасности потери данных и программ из-за недостаточности мер физической и логической защиты, отказов оборудования или систем, а также неполноты собственных процедур резервирования и восстановления функционирования. В Рекомендациях отмечается, что «планирование на случай форс-мажорных обстоятельств следует осуществлять по всему банку, с привлечением руководителей направлений бизнеса, не ограничиваясь только централизованными операциями». Что касается самих планов, то их следует периодически оценивать на «функциональность», исходя из возможных внезапных катастрофических событий.

Принцип 9. Чтобы система внутреннего контроля была эффективной, требуются эффективные каналы взаимодействия, обеспечивающие полное понимание и приверженность персонала политике и процедурам, определяющим их обязанности и ответственность, а также доведение информации, имеющей к ним отношение, до соответствующего персонала.

Комментарий этого принципа начинается с постулата «информация бесполезна, если отсутствуют средства ее эффективного доведения». В обязанности руководства вменяется применение таких способов коммуникаций, которые гарантировали бы получение требуемой информации теми, для кого она предназначена. Это утверждение относится к информации как о принятых политике и процедурах кредитной организации, так и о ее реальном функционировании и прямо зависит от организационной структуры, которая должна обеспечивать должное прохождение информационных потоков в соответствующей иерархии «сверху — вниз, снизу — вверх и по горизонтали». Главное — «совет директоров и высшее руководство должны быть в курсе работы банка и деловых рисков и уверены в том, что необходимая информация доводится до руководителей нижнего звена и операционного персонала».

Принцип 10. Следует осуществлять на постоянной основе мониторинг эффективности средств внутреннего контроля банка. Мониторинг основных рисков должен быть составной частью повседневной деятельности в банке, так же как периодическое оценивание направлений бизнеса и внутренний аудит.

Этот и все оставшиеся принципы не имеют непосредственного отношения к ВК и связаны с деятельностью «вокруг» него. Они ориентированы, по-видимому, преимущественно на содержание контрольных функций в отношении кредитной организации (в части ВК), реализуемых органом банковского надзора.

Считается, что, поскольку банковское дело является динамичным и быстро развивающимся, «банкам необходимо осуществлять постоянный мониторинг и оценивание своих систем внутреннего контроля с точки зрения изменений во внутренних и внешних условиях и совершенствовать эти системы в целях поддержания их эффективности». При этом руководство кредитной организации должно четко определить, кто за такой мониторинг отвечает, — это может быть, например, служба внутреннего аудита, а осуществляться он должен на повседневной основе исходя из «состава наблюдаемых рисков, частоты и характера изменений в операционной среде». В части внедрения и развития ТЭБ, безусловно, целесообразно вовлечение службы ВК в эти процедуры, поскольку невозможно контролировать применение новых технологий без ознакомления с ними. Это тем более важно, что современные аппаратно-программные комплексы развиваются столь быстро, что не всегда компании-разработчики успевают полно и качественно провести даже альфа-тестирование, не говоря уже о бета-тестировании. Не менее важно участие ВК в процедурах «стыковки» каждой новой АС с уже действующими, так как это всегда связано с проблемами обеспечения совместимости АПО разных версий и степеней сложности или разных операционных систем. Даже если специалисты ВК не обладают всей полнотой технических знаний (а их профессиональная переподготовка должна быть регулярной — в соответствии с мета-процессом), все равно им следует требовать от специалистов технического плана подтверждения достаточности встроенных или дополнительных (внешних) средств контроля функционирования вновь внедряемой АС и проведения полноценных ПСИ.

Достоинство текущего мониторинга ВК, как отмечается в Рекомендациях, состоит в том, что он позволяет быстро обнаружить и скорректировать недостатки в СВК, однако скорее сами специалисты ВК выявят нехватку какой-либо профессионально необходимой информации, чем какая-либо внешняя по отношению к ним служба (которая должна в этом случае характеризоваться еще более высокой квалификацией, чем внутренние контролеры). Это относится прежде всего к самооценке используемых средств контроля, а также условий, в которых они применяются. В пределе максимальная эффективность ВК достигается только в том случае, если его средства «интегрированы» в бизнес-процессы, в операционную среду кредитной организации и имеется возможность формирования оперативных контрольных отчетов, содержащих всю необходимую информацию для полноценного контроля функционирования автоматизированных систем, используемых кредитной организацией, в чем должно быть заинтересовано ее руководство.

Принцип 11. Должен быть организован эффективный и полноценный внутренний аудит системы внутреннего контроля, осуществляемый функционально независимым, прошедшим должную подготовку и компетентным персоналом. Те, кто осуществляет функцию внутреннего аудита как части мониторинга системы средств внутреннего контроля, должны отчитываться непосредственно перед советом директоров или его аудиторским комитетом и перед высшим руководством.

Независимая от рабочих подразделений кредитной организации функция внутреннего аудита, имеющая доступ ко всей его банковской деятельности, включая филиалы, считается важной частью текущего мониторинга системы средств ВК, поскольку она «обеспечивает независимое оценивание соответствия установленным политике и процедурам». Оценка работы соответствующей службы должна даваться советом директоров или высшим руководством, определяющими также ее финансирование, причем независимо от руководителей контролируемых подразделений. Других комментариев БКБН к этому принципу не дает, хотя возникают как минимум три вопроса: а) целесообразно ли дублирование службой внутреннего аудита (ВА) процедур ВК и если да, то в какой мере; б) какой должна быть квалификация специалистов этой службы, если в случае, скажем, применения ТЭБ в службе ВК и так должны быть представлены как минимум финансовая, техническая (с ориентацией на компьютерные технологии) и юридическая квалификации; в) какова должна быть компетентность представителя руководства кредитной организации, который будет оценивать результаты внутреннего аудита? Вероятно, более уместным было бы разделение функций обеих служб таким образом, чтобы сотрудники ВК больше ориентировались на организационные, технологические (в широком смысле) и технические аспекты банковской деятельности, а ВА — на административные, финансовые и правовые вопросы, хотя готовых решений в этой части на сегодняшний день, похоже, еще не найдено, вследствие чего в других, не рассматриваемых здесь работах БКБН встречаются и не согласующиеся с рассмотренными положения.

Принцип 12. О недостатках во внутреннем контроле независимо от того, выявлены они по направлениям бизнеса внутренним аудитом или другим персоналом, выполняющим контрольные функции, следует своевременно и адресно докладывать на соответствующем управленческом уровне. О значимых недостатках во внутреннем контроле следует докладывать высшему руководству и совету директоров.

В комментарии к этому принципу отмечается, что после выявления недостатков в работе ВК действия руководства кредитной организации по исправлению ситуации должны быть «адекватными и своевременными». Внутренним же аудиторам следует осуществлять последующий контроль и устанавливать, все ли недостатки исправлены, докладывая об этом руководству и документируя все проблемы и корректирующие мероприятия.

Принцип 13. Органам надзора следует требовать, чтобы все банки, независимо от их размера, имели систему средств внутреннего контроля, соответствующую характеру, сложности и риску, присущему их балансовым и внебалансовым операциям, которая адаптировалась бы к изменениям в самом банке и внешних условиях. В тех случаях, когда надзорным органом устанавливается, что система внутреннего контроля банка не является адекватной или эффективной с точки зрения конкретного профиля риска банка (например, учитывает не все принципы, изложенные в настоящем документе), им должны приниматься соответствующие меры.

Построение СВК кредитной организации, ее адекватность содержанию банковской деятельности и эффективность, а также реакция руководства на результаты ее функционирования «должны оцениваться органом банковского надзора на основе риск-ориентированного подхода». При этом особо отмечается, что «должны оцениваться средства контроля в областях повышенного риска (как то, деятельность, характеризуемая необычной доходностью, быстрым развитием, новыми бизнес-решениями, географической удаленностью от головного офиса)». Можно предположить, что последние два примера непосредственно относятся к ДБО. Далее сказано, что «…изменения в условиях работы банка следует подвергать специальному рассмотрению». К этим изменениям отнесены:

1) изменения в операционных условиях;

2) прием нового персонала;

3) внедрение новой информационной системы или ее модернизация;

4) быстрое развитие какой-либо области деятельности;

5) внедрение новых технологий;

6) появление новых услуг, видов обслуживания или деятельности;

7) корпоративная реструктуризация, слияния и приобретения;

8) внедрение или расширение зарубежных операций.

Очевидно, что практически три четверти перечисленных изменений можно прямо отнести к внедрению или расширению применения технологий электронного банкинга. Что касается «соответствующих мер», то под ними понимаются информирование руководства кредитной организации о выявленных проблемах и мониторинг мероприятий, проводимых им для устранения недостатков ВК. Соответственно сотрудникам СВК следует быть готовыми к тому, что все связанное с новыми банковскими информационными технологиями, особенно в современных условиях с технологиями ДБО, привлечет внимание банковского надзора.

В завершение рассмотрения можно заметить, что в последние годы получают распространение так называемые «трансграничные» банковские операции, совершаемые кредитными организациями в электронной форме в рамках ДБО. Дополнительный стимул к их развитию дала такая его разновидность, как интернет-банкинг. Этому направлению в настоящее время уделяется повышенное внимание органов банковского и финансового надзора разных стран в связи с целым рядом потенциальных проблем ДБО, а именно его правовой неурегулированностью на локальных и международном уровнях, прохождением транзакций через процессинговые центры, расположенные на территории разных государств, возможностями его использования для «отмывания» денег и пр. Поэтому в современных условиях перед последним, 13-м принципом Рекомендаций можно было бы добавить еще один принцип, формулировка которого получена на основе положений более поздних публикаций БКБН:

Банкам следует интегрировать в свою систему управления рисками те риски, которые могут оказаться связаны с трансграничным банковским обслуживанием через каналы электронного банкинга. Все процедуры управления такими рисками, как риск ликвидности, операционный, правовой, репутационный, страновой и стратегический риски, необходимо адаптировать с позиций обеспечения выполнения обязательств перед клиентами, адекватного раскрытия информации о банковской деятельности и организации надлежащих процессов контроля управления рисками и оценки его качества до того, как приступать к трансграничному обслуживанию с помощью технологий электронного банкинга.

Трансграничная активность в рамках ДБО постоянно увеличивается в последнее время, поскольку пользование таким обслуживанием расширяется во многих странах и Россия не является исключением. Причем наблюдается стабильный рост пользователей Интернета, которые охотно используют эту разновидность ДБО ввиду предоставляемых ею удобств для доступа к банковским услугам. Не исключено, что в скором времени, учитывая результаты либерализации российского валютного законодательства, клиенты будут обращать все меньше внимания на то, в какой конкретно стране мира расположен банк, услугами которого они предполагают воспользоваться.

На основе проведенного рассмотрения уместно сделать еще два принципиальных замечания по существу вопроса модернизации ВК как процесса, СВК как «общебанковской» структуры и обеспечения совокупной квалификации входящих в нее специалистов кредитной организации, внедряющей ТЭБ, а именно:

1) кредитные организации могут неадекватно оценивать надежность (качество) процесса ВК (и ФМ), вследствие чего могут смещаться профили и повышаться уровни банковских рисков;

2) контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса ВК способам и условиям осуществления ими своей банковской деятельности.

На обеих проблемах в последние годы зарубежными органами финансового контроля (в широком смысле) делаются серьезные акценты.

В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов[163], основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г.[164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям:

Применение технологий электронного банкинга: риск-ориентированный подход

В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей[165]. Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией СISА — «Сертифицированный аудитор информационных систем» и СISМ — «Сертифицированный менеджер информационных систем»[166]. Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных систем всегда делается акцент в литературе, посвященной аудиту ИТ, составляющих основу современного бизнеса’. По существу ни одна системная разработка, АС или СЭБ не должны внедряться в кредитной организации без участия специалистов ВК, причем их участие необходимо с начала проектирования таких систем, как об этом было сказано выше. В книге Dаvis С., Sсhillеr М., Whееlеr К. IТ Аuditing: Using Соntrоls tо Рrоtесt Infоrmаtiоn Аssеts, представляющей собой отличное введение в аудит ИТ, указывается, что ВК «должен быть не частью проблемы, а частью ее решения». При этом его специалистам следует присутствовать на всех важных совещаниях по вопросам автоматизации, они должны активно участвовать в обсуждении предусматриваемых в автоматизированных системах средств контроля и ни в коем случае не «занимать позицию мухи на стене». Стоит добавить, что такую ролевую функцию ВК руководству кредитной организации целесообразно предусмотреть в ее «Положении о службе внутреннего контроля» (на основе риск-ориентированного подхода) и должностных инструкциях ответственных менеджеров и исполнителей.

В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:

Над содержанием и ведением wеb-сайта, используемого кредитной организацией;

Бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;

Функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации;

Поставщиками программного обеспечения интернет-банкинга;

Мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.

Тем самым должна обеспечиваться контролируемость в целом информационного контура интернет-банкинга, используемого кредитной организацией.

Что касается адаптации ВК, то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен рассмотренному в отношении процесса ОИБ. Он строится, как предлагалось выше, исходя из содержания жизненного цикла процесса ВК в отношении, в данном случае, систем ДБО. В целом он заключается в выполнении совокупности опять-таки типовых, описанных во внутренних документах кредитной организации процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным в ней границам для уровней принимаемых банковских рисков.

В число типовых внутрибанковских процедур в части ВК целесообразно включать (как минимум):

Разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь — технологии ДБО), т. е. участие в проектировании и разработке внутрибанковских систем;

Контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, т. е. участие в ПСИ начиная со стадии подготовки их программ и методик;

Регулярную проверку функциональности и надежности средств ВК, т. е. участие в эксплуатации и сопровождении автоматизированных систем, а также контроль над функционированием и состоянием аналогичных компьютерных систем провайдеров кредитной организации;

Обеспечение адаптации мер по обеспечению управляемости и контролируемости ИКБД при модернизации автоматизированных систем и выводе их из эксплуатации и замене, а также при заключении контрактных отношений с новыми провайдерами (включая замену провайдера в интересах учета специфики той или иной организации).

Эти процедуры, как и в случае адаптации ОИБ, целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой кредитной организацией.

Точно так же «Положение о внутреннем контроле» (или его аналог) и связанные с ним внутрибанковские документы целесообразно пересматривать при внедрении каждой новой технологии электронного банкинга и реализующей ее системы и однозначно увязывать его содержание с содержанием «Положения об управлении банковскими рисками», включающего описания компонентов банковских рисков, ассоциируемых с электронным банкингом (как минимум операционного, правового, репутационного, неплатежеспособности и стратегического рисков). В «Положение о внутреннем контроле» кредитной организации целесообразно включить описание специальных функций контроля над управлением банковскими рисками, «привязав» их к конкретным системам электронного банкинга, а также над организацией ФМ и содержанием положения о его осуществлении в кредитной организации. Общая оценка значимости роли ВК с риск-ориентированных позиций в условиях применения и развития кредитными организациями технологий электронного банкинга может быть сформулирована следующим образом:

Недостатки в организации внутреннего контроля в условиях применения современных банковских информационных технологий могут оказаться наиболее серьезными источниками компонентов банковских рисков для кредитной организации и ее клиентов.

Новые информационные технологии и ассоциируемые с их применением в банковской деятельности потенциальные факторы возникновения источников компонентов банковских рисков «требуют» обеспечения гарантий адекватности ВК составу сложности и особенностям прежде всего технологий электронного банкинга, а также масштабам ДБО. Именно поэтому кредитным организациям, использующим в своей деятельности распределенные компьютерные технологии в «открытых системах», в условиях отсутствия (и невозможности) регламентации нормативными правовыми актами информатизации банковской деятельности необходимо разрабатывать новую индивидуальную методологию ее ВК начиная с применения ТЭБ. Кроме того, руководству высокотехнологичных кредитных организаций целесообразно помнить о том, что всегда остается вопрос: кто проверяет проверяющих?

5.6. Адаптация финансового мониторинга.

Главное, что руководству высокотехнологичных кредитных организаций целесообразно учитывать при адаптации осуществления процесса ФМ к условиям электронного банкинга, это то, что применение таких технологий радикально изменяет характер взаимодействия между кредитными организациями и их клиентами, что может негативно повлиять на выполнение обязательств этих организаций перед контролирующими органами (очевидно, что в противном случае необходимости в ПОД/ФТ и ФМ не было бы). Если руководство кредитной организации, внедряющей ТЭБ, не придает должного значения этому факту и необходимость модернизации ФМ осознается недостаточно, то надежность (качество) процедур ФМ будет оцениваться заведомо неадекватно, следствием чего станет повышение банковских рисков: как минимум правового и стратегического, возможно, чрезмерное для этой организации. Чаще всего эти риски реализуются из-за скрытого вовлечения кредитной организации в противоправную деятельность, хотя имеют место и другие причины. Можно обоснованно говорить и о повышении своего рода «риска потери деловой репутации» в глазах ряда контролирующих органов, реализация которого всегда приводит к негативным последствиям для кредитной организации.

Более того, сложность осуществления ФМ в условиях применения технологий электронного банкинга и массового ДБО может возрасти настолько, что фактически потребуется формирование выделенного внутрибанковского процесса ФМ, приспосабливаемого к новым условиям банковской деятельности. Рост числа клиентов кредитной организации, обслуживаемых дистанционно, быстрое увеличение плотности потоков поступающих от них ордеров и предоставление им разнообразных каналов удаленного доступа к ее информационно-процессинговым ресурсам обусловливают возникновение потребности в автоматизированном анализе указанных потоков практически в реальном масштабе времени (РМВ). Для этого соответственно в дополнение к традиционному АПО банковской деятельности необходимо внедрять специализированное программно-информационное обеспечение (ПИО), позволяющее оперативно выявлять подпадающие под критерии ФМ ордера клиентов на выполнение банковских операций. Для сопровождения этого ПИО требуется обеспечение дополнительной квалификации для существующего персонала или формирование новой группы специалистов.

В последние годы рассматриваемые технологии стали достаточно активно использоваться для легализации доходов, полученных незаконным путем, совершения различных финансовых преступлений и другой противоправной деятельности, что заметно усложняет осуществление ПОД/ФТ. Что касается отмывания денег, то оно в последние годы по всему «цивилизованному миру» получило фактически поддержку технологий электронного банкинга из-за предоставляемых ими возможностей в части запутывания следов и потоков финансовых средств. Во многих зарубежных публикациях отмечается, что в настоящее время имеет место неизбежное отставание законодательной базы от практики, регулирующей, в частности, новые банковские технологии и инструменты, что создает идеальные условия для их незаконного использования в целях отмывания денег. Отмеченная анонимность используется для такой противоправной финансовой деятельности, в которой фигурируют фиктивные фирмы, подставные лица или «мертвые души», а также так называемые «бумажные банки» (хотя на самом деле они скорее «виртуальные», т. е. не существующие реально, но имитируемые с помощью электронного документооборота) и т. п. Угрозы для кредитных организаций заключаются в том, что они могут оказаться незаметно вовлечены в незаконную деятельность со всеми вытекающими отсюда последствиями реализации компонентов правового, репутационного и стратегического рисков. Поэтому в области технологий электронного банкинга при изучении и анализе состава и структуры типичных банковских рисков акцент смещается с вида и содержания банковской деятельности в сторону организации и условий этой деятельности (с учетом особенностей новых способов ее осуществления с использованием ДБО).

Основная проблема с операционной деятельность в виртуальном пространстве заключается в том, что, после того как клиент открыл счет, кредитной организации оказывается затруднительно определить, проводит ли конкретную транзакцию именно официально зарегистрированный владелец счета, а иногда даже понять, имеет ли экономический смысл проводимая операция (и вообще имеет ли место операция как таковая). Тем самым проблема ФМ (оперативного контроля) усложняется многократно. Поэтому во многих странах выпущены специальные руководства по ПОД/ФТ, в которых обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и по мониторингу онлайновых транзакций, требующих повышенной бдительности[167].

Следует отметить, что само понятие «виртуальность» используется не случайно — то физическое пространство, которое соответствует ИКБД в случае, например, интернет-банкинга, реально формируется только на то время, пока идут сеансы связи между различными распределенными «по всему миру» wеb-серверами, шлюзами, маршрутизаторами, коммутаторами и другими компонентами этого контура. По завершении каждого сеанса, точнее, после прохождения маршрута одним или несколькими пакетами данных такое физическое пространство видоизменяется (все они могут проходить разными маршрутами), и о том, что какие-то массивы данных перемещались между агентами сетевого взаимодействия в соответствии с теми или иными командами (предположительно известных, официально зарегистрированных личностей и/или систем/серверов), а также сетевыми протоколами этого взаимодействия, свидетельствуют только изменения в полях записей баз данных, которые ведут кредитные организации, и в записях файлов компьютерных журналов, которые предназначены для регистрации системных событий (если таковые, кстати, вообще ведутся в системах электронного банкинга и банковских автоматизированных системах кредитной организации).

Многие современные электронные платежные инструменты характеризуются предельно высокой скоростью транзакций, анонимностью, сочетаемостью с различными платежными системами, глобальностью действия и «автоматизированностью», т. е. применением так называемых «безлюдных» технологий. Эти особенности снижают эффективность таких традиционных методов ПОД/ФТ, как требование установления личности клиента, отслеживания и анализа содержания операций, предоставления той или иной дополнительной информации и т. п. Пока что в борьбе с незаконным использованием финансовых систем делается, по сути, попытка адаптации существующих методов и процедур к новым платежным инструментам и электронной торговле. К примеру, устанавливаются требования увеличения видов и объема подлежащих фиксации данных, обеспечения доступа к дополнительным источникам информации, совершенствования методов проведения расследований подозрительных ситуаций. Таким образом, основная в этом случае задача следования кредитными организациями принципу «знай своего клиента» оказалась при работе в киберпространстве довольно сложной.

Вместе с тем структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов, особенно в разных странах. Появление технологий электронного банкинга как таковое переводит банковские операции в такую форму, когда реальные, скажем, первичные документы, т. е. представляемые на бумажной основе, в инициируемом транзакционном процессе физически отсутствуют. Собственно-то банковские операции совершаются, естественно, на уровне физическом, но, так сказать, «внечувственном». Теперь для контроля над электронными банковскими операциями пытаются применять и различные «интеллектуальные», в том числе и эвристические методы типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно.

Вследствие сказанного важно подчеркнуть, что в современных условиях и в ближайшей перспективе контролирующим предоставление финансовых услуг органам требуются от кредитных организаций гарантии соответствия организации и содержания процесса ФМ (ПОД/ ФТ) способам и условиям осуществления ими своей банковской деятельности. Для предоставления гарантий такого рода кредитным организациям полезно прежде всего располагать внутренними документами (начиная с УБР), в которых было бы четко выражено понимание ими специфики ситуации осуществления ФМ на фоне новых банковских информационных технологий, описание используемого для него ПИО, увязка стратегических планов развития ДБО с необходимостью дальнейшего совершенствования ПОД/ФТ, а в вариантах массового ДБО — учет требований, возможно, связанных с работой в РМВ.

Полные и однозначные рекомендации относительно того, как организовывать специальные процедуры подтверждения идентичности клиентов и аутентичности информационного обмена, до настоящего времени для разных вариантов ДБО не разработаны. Из этого следует, что начиная с внедрения первой же ТЭБ руководству кредитных организаций целесообразно разрабатывать и внедрять процедуры такого рода еще до перехода к физической обработке ордеров и транзакций удаленных клиентов. Варианты их могут быть различны, зачастую для регулярной идентификации дистанционно работающих клиентов используются типовые правила обновления идентифицирующих и аутентифицирующих данных (такой процесс может быть реализован совершенно «естественно»). Вместе с тем на первый план выходят компьютерная грамотность и информированность клиентов кредитной организации, а значит, ее руководству логично было бы предусмотреть:

1) изучение текущей и оценку перспективной обстановки, например, получения информации о тех способах противоправной деятельности, которые уже зафиксированы в банковском сообществе и правоохранительными органами, о «достижениях» хакеров и компьютерных мошенников и т. п.;

2) организацию процесса доведения необходимой информации до клиентов ДБО, например, через офисы, wеb-сайты, сервис-центр, целевую (адресную) рассылку сообщений электронной почты и т. д.;

3) адаптацию процесса предупреждения клиентов, возможно, за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления средств дистанционного доступа и поставочной документации и других процедур.

Все перечисленное позволит предотвратить или, как минимум, серьезно затруднить незаметное использование кредитных организаций в качестве посредников для трансфера или хранения незаконных доходов с использованием новых банковских информационных технологий. Важно, чтобы осознавалось возможное устаревание технологии ФМ и реализующих ее методов и средств по мере внедрения новых видов банковских услуг и развития автоматизации банковской деятельности, а также регулярно (или, как минимум, по мере внедрения каждой новой СЭБ) оценивалась потребность в их модернизации. Наличие в кредитной организации документов, в которых отражается описанный подход, а также возможность практической демонстрации внедренных в связи с переходом к ДБО процедур ФМ, снижают ее потенциальную подверженность компонентам правового и стратегического рисков.

Реализации упомянутых процедур в кредитных организациях посвящен ряд документов Банка России, в частности упоминавшимся в главе 4 Положением 262-П предусмотрено, что:

«2.9. Кредитная организация оценивает степень (уровень) Риска с учетом следующих операций повышенной степени (уровня) Риска: <…>

2.9.11. Осуществление банковских операций и иных сделок с использованием интернет-технологий.

<…>

2.10. Кредитная организация должна уделять повышенное внимание операциям с денежными средствами или иным имуществом, проводимым клиентами, отнесенным к повышенной степени (уровню) Риска».

Необходимо отметить, что проблема заключается не в самих интернет-технологиях — это лишь один из вариантов ДБО и они упомянуты конкретно как наиболее распространенный в российском банковском секторе, а в том, для каких целей может быть использована любая технология ДБО. Практическое выполнение требований нормативных документов и рекомендаций предполагает прежде всего их фиксацию во внутренних документах кредитной организации (причем не ограничиваясь простым цитированием, как это нередко бывает), за которой в оптимальном варианте следует дополнение внутрибанковских процессов новыми процедурами в рамках процесса ФМ. Естественно, предполагается учет в них специфики каждой ТЭБ в связи с содержанием процессов УБР и ВК, а возможно и с работой СД кредитной организации.

Для иллюстрации проявления такой специфики в варианте интернет-банкинга на рис. 5.8 приведена карикатура (с www. саrtооnbаnк.соm), которая, по мнению автора, лаконично и точно отражает суть рассматриваемой проблематики.

Применение технологий электронного банкинга: риск-ориентированный подход

При осуществлении банковского обслуживания через Интернет кредитной организации следует принимать специальные меры идентификации клиентов и контроля над их действиями, особенно при массовом дистанционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требует, в общем случае, регулярного подтверждения идентичности клиентов, в том числе в целях противодействия возможному противоправному использованию интернет-банкинга. Поэтому кредитной организации целесообразно разработать, документировать и внедрить дополнительные процедуры подтверждения идентичности клиентов ДБО с тем, чтобы они после заключения соглашения на ДБО не исчезали из ее «поля зрения» и одновременно выполнялись установленные нормативными правовыми актами требования к дальнейшей работе с такими клиентами. Мероприятия такого рода в свою очередь будут иметь значение для контролирующих органов в плане подтверждения «отнесения» клиентов ДБО к «повышенной степени (уровню) Риска», как сказано в Положении 262-П.

Кроме того, специалистам кредитных организаций желательно располагать моделями возможной противоправной деятельности, так называемыми шаблонами или «образами»[168]. Типичные мошеннические приемы, реализуемые с помощью технологий электронного банкинга, достаточно хорошо известны и при должном внимании могут быть парированы без угроз для других клиентов кредитной организации и ее самой. В число признаков, помимо установленных законодательно, обычно входят имитация поставок товаров и услуг с задержкой (а затем с отсутствием) предоставления подтверждающих документов (включая авансовые платежи), проведение последовательных операций сомнительного характера в сжатые интервалы времени, переводы на счета за рубежом и др. Банк России в ряде своих писем дал рекомендации кредитным организациям по усилению контроля над операциями, совершаемыми с помощью средств ДБО[169]. Для этого могут дополнительно использоваться прямые и косвенные процедуры, как входящие в их типовой набор, например, подтверждение нахождения клиента по его юридическому или фактическому адресу, так и те, которые кредитная организация определяет самостоятельно — замена средств идентификации, доступа к СЭБ или криптозащиты трафика.

Здесь надо отметить еще и подходы к организации приема и обработки ордеров клиентов ДБО в автоматизированных системах кредитных организаций. Некоторые наблюдения свидетельствуют о том, что за последние годы стала проявляться своеобразная тенденция роста доли банковских операций, относящихся к категории подлежащих обязательному контролю и совершенных с применением систем ДБО, в сопоставлении с долей клиентов кредитных организаций, пользующихся системами электронного банкинга. Даже если доля последних составляет всего 1,5–3 % от общего количества клиентов, они могут давать более половины поводов для отнесения совершаемых по их ордерам операций к указанной категории. Это свидетельствует о целесообразности применения кредитными организациями дополнительных аналитических процедур, позволяющих установить, имеет ли место «крен» такого рода, и, возможно, более внимательно относиться к клиентам ДБО, если возникают подозрения в попытках противоправно воспользоваться отмечавшимися ранее особенностями киберпространства. Однако во многих случаях при передаче потоков данных из СЭБ в БАС ордера клиентов «очищаются» от сеансовой информации, позволяющей установить, через какой канал информационного взаимодействия обращался клиент, а потеря таких признаков не позволяет осуществить даже элементарный статистический анализ в интересах ФМ (или в целях ПОД/ФТ).

В дополнение к этому логично сделать акцент на тех обязательствах, которые может наложить ДБО в своих наиболее «отвлеченных» формах на кредитную организацию с точки зрения контролирующих органов. Принцип «знай своего клиента» (ЗСК) хорошо известен банковскому сообществу по тем же публикациям БКБН, однако в последние годы этот комитет стал уделять ему повышенное внимание в разных отношениях, что связано с усиливающейся тенденцией к использованию систем ДБО для противоправной деятельности. Как пишет БКБН в ряде своих материалов, «банки, не имеющие адекватных программ управления риском, связанным с принципом „знай своего клиента“[170], подвержены значительным рискам, в особенности правовому и репутационному». Поэтому здесь же указывается, что «приятие эффективных стандартов ЗСК представляет собой существенную часть банковской практики управления рисками». Учитывая возможные затруднения с идентификацией клиентов и комплексным анализом их деятельности в многофилиальных структурах, особенно в связи с ДБО, БКБН пропагандирует так называемое «консолидированное управление риском, связанным с клиентами», в связи с чем особый акцент делается на так называемом «групповом подходе» при соблюдения принципа ЗСК[171].

Речь в этом случае идет о кредитных организациях, имеющих дочерние банки, или филиалы, или представительства и т. п. Ниже рассматриваются основные положения из этого документа БКБН, которые прямо относятся к факторам риска, возникающим при ДБО, и соответственно подлежат учету при осуществлении внешнего аудита кредитных организаций и риск-ориентированного банковского надзора. Они становятся даже более актуальными в тех случаях, когда филиалы кредитных организаций предлагают клиентам ДБО, тогда как их головные офисы такие технологии не используют. В такой ситуации представляется логичной организация исполнительными органами кредитной организации как минимум дополнительных процедур информационного взаимодействия с такими филиалами и контроля над их деятельностью, т. е. речь фактически идет о внедрении того же подхода, который обсуждался в связи с адаптацией процесса ФМ. Естественно, эти процессы следует подкреплять выделением в кредитной организации соответствующего ответственного должностного лица и персонала, обеспеченного всеми необходимыми внутрибанковскими документами, регламентирующими и описывающими эти процедуры (от порядков до должностных инструкций, включая механизм управленческого наблюдения за реализацией таких порядков).

Как пишет БКБН, ключевым аспектом реализации кредитной организацией «надежной» политики и процедур, связанных с принципом ЗСК, являются внедрение и поддержание на адекватном масштабам ее деятельности уровне эффективного группового подхода, для чего строится соответствующий бизнес-процесс, в основу которого закладывается анализ компонентов правового и репутационного рисков (иногда, кстати, называемого в материалах комитета «имиджевым риском»). Считается, что политика и процедуры на уровне филиалов и дочерних компаний кредитной организации должны быть согласованы с групповыми стандартами ЗСК (вид внутрибанковского документа в зарубежной терминологии) и обеспечивать их поддержку. Если говорить о специфике российской ситуации, то она двояка и различна как для отечественных кредитных организаций, которые не всегда могут адекватно контролировать деятельность своих филиалов (особенно удаленных, в которых за ИТ и ДБО отвечает малое число сотрудников), так и для зарубежных кредитных организаций, руководство которых может не иметь полного и адекватного представления о том, в каких условиях работает их дочерний банк за рубежом.

Как бы то ни было, БКБН подчеркивает важность следования кредитных организаций принципу: «Банк должен располагать возможностью осуществления мониторинга своих клиентов при совершении ими операций».

Для этого «необходимо наличие в банках надежной политики и процедур ЗСК, учитывающих специфику банковского обслуживания, поскольку это:

— способствует обеспечению безопасности и надежности банка;

— содействует защите целостности банковской системы за счет снижения вероятности превращения банков в „механизмы“ отмывания денег, финансирования терроризма и реализации других незаконных действий».

Ниже излагаются основные положения этого документа БКБН:

Следует разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков, а также риска концентрации[172];

Политика и процедуры на уровне всех филиалов и дочерних организаций должны быть согласованы с групповыми стандартами «знай своего клиента» и обеспечивать их поддержку;

Единые подходы для всех банков к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации способствуют координированию действий и делают контроль над этими рисками и управление ими более эффективным;

Подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков;

Между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками;

Контролирующий процесс должен включать не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов.

При этом обращается внимание также на то, что роль аудита особенно важна в оценке стандартов ЗСК на консолидированной основе, и сотрудники надзорного органа должны быть уверены, что все необходимые процедуры в этом отношении соблюдены, и они имеют полный доступ к относящимся к делу отчетам и рабочим документам аудита (по всей группе).

Главное заключается в том, что необходимо разработать, внедрить и поддерживать (на основе регулярного ВК) единые подходы для всех кредитных организаций к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации. Постулируется, что это способствует координации действий в банковском секторе и делает контроль над этими рисками и управление ими в кредитных организациях более эффективными. В свою очередь кредитным организациям рекомендуется перенести этот подход на уровень своей системы или, иначе, подсистемы банковского сектора.

Постулируется также, что подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих ему факторов банковских рисков, что при ДБО оказывается весьма актуальным. Информационное взаимодействие между головным офисом кредитной организации и ее филиалами должно быть налажено как единый процесс, унифицированный для всех офисов, который одновременно позволял бы обеспечить одинаковое информирование филиалами головного офиса о возможных проблемных клиентах и ситуациях. При консолидированном подходе требуется специальная организация контроля в банковской подсистеме (группе) над проблемными операциями и ситуациями. Контролирующий процесс вообще должен включать, по мнению БКБН, не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов. Для крупного многофилиального банка при этом могут возникнуть дополнительные организационно-технические проблемы, особенно в плане комплексного (группового) контроля.

В завершение рассмотрения документов БКБН по тематике ФМ можно привести еще несколько концептуальных положений:

«Банкам следует сделать все возможное для идентификации всех клиентов… Особое внимание следует уделять идентификации владельцев счетов… Всем банкам следует внедрить эффективные процедуры по идентификации новых клиентов. Следует иметь четко определенную политику, гарантирующую, что никакие значимые транзакции не будут выполняться, если соответствующие клиенты не идентифицированы должным образом…

Банки могут не располагать средствами, позволяющими определить принадлежность транзакций к противоправной деятельности… может оказаться затруднительным установить соответствие требованиям законодательства при трансграничных операциях… Тем не менее любая транзакция должна тщательно проверяться на предмет ее возможной подозрительности.

…Все банки должны официально утвердить политику, отвечающую установленным принципам и убедиться в том, что все сотрудники, независимо от их нахождения, ознакомлены с данной политикой…

…банкам следует внедрить специальные процедуры для идентификации клиентов и сохранения сведений об их транзакциях. Может потребоваться организация специальных процедур внутреннего аудита…».

Специально подчеркивается, что «контролирующие органы должны получить возможность убеждаться в наличии таких процедур и их эффективности», т. е. в том, что меры по идентификации и подтверждению аутентичности клиентской информации, принимаемые кредитной организацией в отношении клиентов ДБО, действительно способствуют снижению уровней компонентов принимаемых ею банковских рисков, связанных с возможными недостатками в следовании принципу ЗСК.

Организуя и модернизируя процесс ФМ (ПОД/ФТ) в целом, руководству кредитных организаций целесообразно помнить о том, что существуют типовые схемы противоправной деятельности, которые при использовании технологий электронного банкинга повторяются наиболее часто — обобщенная трехэтапная схема такого рода приведена на рис. 5.9. Этапы определяются как «размещение», «расслоение» и «интеграция», при этом полученные преступным путем денежные средства перемещаются относительно небольшими суммами между счетами реальных и подставных фирм, затем для запутывания следов с помощью наиболее сложно отслеживаемых «электронных транзакций» пересылаются с использованием оффшорных банков, после чего под видом более-менее обоснованных платежей концентрируются таким образом, чтобы их можно было снять со счетов вполне «добропорядочных» компаний, придав им легитимный вид.

Применение технологий электронного банкинга: риск-ориентированный подход

В рассматривавшихся в параграфе 5.2 материалах БКБН отмечено также, что «надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий электронного банкинга, учитывая осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, включая повышенный риск обезличивания индивидуальности и большие затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам».

Для адаптации процесса ФМ уместно из общего состава принципов управления рисками в условиях электронного банкинга использовать также принципы 5, 7, 8, 9 и 14, указанные в параграфе 5.2. Их практическая интерпретация определяется теми технологиями и системами электронного банкинга, которые применяет кредитная организация, и содержанием ее процесса УБР.

Резюмируя рассмотрение влияния технологий электронного банкинга на содержание процесса ФМ в кредитной организации, можно сделать вывод, что внедрение ТЭБ приводит к внесению существенных изменений в организацию и содержание этого процесса. Поэтому важно убедиться в том, что кредитная организация располагает необходимыми для этого ресурсами или может их привлечь. Для реализации принципа ЗСК в части идентификации потенциальных клиентов внедряемого ДБО и контроля над осуществляемыми ими операциями в новых условиях банковской деятельности руководству организации целесообразно до начала внедрения этой технологии и реализующей ее БАС оценить состав и содержание тех изменений, которые потребуется внести в процесс ФМ и составляющие его процедуры, а также достаточность требуемых для этого ресурсов: персонала и его квалификации, специальных технологических решений и технических средств, внутрибанковского документарного обеспечения, а также адаптации УБР и ВК. В рамках определения содержания, осуществления и адаптации ФМ и составляющих его процедур целесообразно:

При принятии решения относительно внедрения ТЭБ и реализующих ее автоматизированных систем руководству кредитной организации определить и проанализировать те процедуры, которые потребуется разработать и внедрить для эффективной реализации принципа ЗСК в приложении к идентификации потенциальных клиентов конкретного ДБО и контроля над осуществляемыми ими операциями, а также оценить возможности реализации этих процедур в плане необходимых для этого практически применимых методов и средств с учетом организации и осуществления дальнейшего управления этими средствами и контроля их использования[173];

Изучать способы и практические примеры противоправной деятельности с помощью банковских информационных технологий;

Создавать и адаптировать модели возможной противоправной деятельности с использованием АПО СЭБ;

Тестировать ПИО ФМ (ПОД/ФТ) на предмет его адекватности указанным моделям;

Актуализировать и обновлять ПИО ФМ (ПОД/ФТ) по мере расширения применения технологий электронного банкинга.

Внутрибанковский мета-процесс в части ФМ уподобляется своему аналогу в области ВК в целом. Основная цель такой компоненты процесса высшего уровня состоит в том, чтобы воспрепятствовать вовлечению кредитной организации в противоправную деятельность, осуществляемую за счет использования технологических возможностей современного ДБО. Это касается прежде всего тех ситуаций, в которых могут быть поставлены под сомнение сами возможности данной организации в отношении контроля над операциями, осуществляемыми с помощью ее БАС или аналогичных систем, установленных в филиалах либо используемых ими. В то же время нельзя забывать, что серьезные нарушения возможны и без всяких противоправных операций, например, нарушение конфиденциальности сведений о состоянии счетов и операциях клиента (т. е. нарушение банковской тайны) возможно в тех случаях, когда информация такого рода передается через системы провайдеров (например, системы мобильной связи) в незащищенном виде. Впрочем, данная проблематика ближе, пожалуй, к вопросам ОИБ. Необходимо только подчеркнуть, что дополнительным, но часто забываемым нюансом становится обеспечение, по сути, доказательного подтверждения непричастности кредитной организации (ее персонала и руководства) к осуществлению зафиксированных противоправных действий, т. е. в случаях уже как бы «причастности» (в этом случае имеются в виду недостатки в содержании процесса ФМ, которые приводят к зависимости уровней банковских рисков, принимаемых кредитной организацией, от деятельности ее клиентов).

Эффективная адаптация процесса ФМ, как правило, невозможна без согласованного с соответствующими требованиями внесения изменений во все внутрибанковские процессы, так или иначе связанные с контролем управления финансовыми потоками и банковскими операциями. Поэтому в кредитной организации необходимо понимание зависимости результатов ФМ от его обеспечения со стороны таких процессов. Согласованная адаптация всех процессов требует наличия единой организационно-методической платформы, формирование которой обеспечивается руководством кредитной организации. Поэтому целесообразно наличие своего рода «политики» внедрения технологий электронного банкинга (а не просто политики информатизации), базирующейся на принципе «знай свои технологии», в которой описывались бы (регламентировались) все мероприятия, связывающие модернизацию внутрибанковских процессов. Руководству кредитной организации целесообразно рассматривать управление процессом ФМ и контроль над его осуществлением как неотъемлемую часть общебанковского процесса корпоративного управления. То и другое следует осуществлять в связи с адаптацией процесса УБР, поскольку ФМ должен рассматриваться и как составная часть этого процесса, которая в современных условиях приобретает все большее значение в связи в внедрением, развитием и широким распространением новых технологий электронного банкинга, а также быстрым ростом их клиентской базы и масштабов операций, проводимых в режимах, близких к РМВ.

5.7. Адаптация правового обеспечения электронного банкинга.

Проблематика правового обеспечения использования систем электронного банкинга многообразна и сложна в связи с тем, что речь идет о применении юридической техники для поддержки решения технологических вопросов, относящихся к принципиально иной области знания и в условиях отсутствия развитого законодательства об электронных финансах. Как следствие, специалистам юридического обеспечения кредитной организации приходится иметь дело с установлением правоотношений при отсутствии законодательно определенных мер возможного и должного поведения с применением технических средств, понимание функционирования которых заведомо требует наличия специальной квалификации, отличной от юридической. К сожалению, дополнительные сложности для формирования указанного правового обеспечения создает отсутствие в действующих законодательных актах определения понятий, которые точно так же являются принципиально важными для банковской деятельности и ДБО клиентов кредитных организаций. В первую очередь это относится к определению сущности процессов и процедур, происходящих в виртуальном киберпространстве.

При рассмотрении этого вопроса акцент делается на том, что именно целесообразно предусмотреть руководству кредитной организации и ее специалистам, чтобы адекватно определить правоотношения, возникающие при ДБО (ввиду достаточно широкого разнообразия технологий электронного банкинга автор не претендует на полноту изложения, но обращает внимание на известные из практики проблемы, которые приводят к повышению уровней компонентов банковских рисков). Важно отметить, что подавляющее большинство подлежащих решению правовых вопросов являются новыми для кредитной организации, кроме этого, они могут варьироваться от одной технологии электронного банкинга к другой. Прежде всего необходимо определить суть, основное содержание ДБО — то, что именно требуется от него клиентам кредитных организаций и само требует определения возникающих правоотношений. Начать здесь целесообразно, видимо, с определений расчетных и платежных операций, поскольку при ДБО реальные, физические денежные средства фигурируют только при их получении в банкоматах или операционных кассах, весь остальной документооборот по определению «электронный».

Сказанное выше относится преимущественно к содержанию описаний взаимоотношений кредитной организации со своими клиентами (поскольку в ее «внутреннем мире» разногласия и конфликты интересов разрешаются существенно проще, чем с внешним миром). Специалистам кредитной организации целесообразно помнить о том, что несмотря на широкое использование понятий «платеж» и «расчет», их определения в ГК РФ отсутствуют. В статье 140 сказано, что «платежи на территории Российской Федерации осуществляются путем наличных и безналичных расчетов», буквально о том же идет речь в ст. 861 ГК РФ, а в ст. 862 и последующих приводятся описания форм расчетов, в которых фигурируют выражения типа «перевести определенную денежную сумму на счет указанного плательщиком лица» и т. п. без каких-либо дополнительных определений. В то же время, как свидетельствует практика изучения претензионной работы в кредитных организациях, разногласия между ними и их клиентами нередко обусловлены тем, что одни и те же термины стороны трактуют по-разному В тексте Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности» можно обратить внимание на содержание ст. 5, где перечислены «банковские операции и другие сделки кредитной организации» и в их составе в п. 4 указано «осуществление расчетов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам», однако понятие «платеж» в ней отсутствует. Таким образом, специалистам кредитной организации совместно с клиентом ДБО целесообразно при заключении соответствующего соглашения стремиться к достижению максимальной точности в описании того, что конкретно клиент хотел бы получить с помощью выбранной им СЭБ, на каких условиях и что собирается (и способна) гарантировать ему сама организация[174].

Следует подчеркнуть, что из-за пробелов в финансовом законодательстве специальных, нетипичных подходов требует и проблема обеспечения доказательности и юридической силы «электронных документов», особенно если кредитная организация предлагает для ДБО вариант с «тонким клиентом» (в предельном случае «тонкости» — через типовой интернет-браузер). В этом случае целесообразно детально анализировать те источники компонентов банковских рисков, которые неизбежно присутствуют в ИКБД ДБО, поскольку существует целый ряд зон концентрации риска, подлежащих анализу с юридической точки зрения, начиная с возможных ошибочных действий клиента, продолжая возможными проблемными ситуациями у провайдеров и кончая возможностями НСД в самой кредитной организации. Общий принцип, следовать которому логично при разработке необходимых внутрибанковских процессов и процедур, заключается в том, что любые действия клиента, включая ошибки при вводе данных в поля интерфейсных форм на экране дисплея, нарушения правил информационной безопасности, умышленные противоправные действия и т. д. должны полностью и «доказательно» фиксироваться средствами СЭБ или БАС. То же самое относится к другой стороне информационного взаимодействия в ИКБД: любому клиенту системы ДБО должны быть гарантированы все возможности правового подтверждения его действий. Естественно, в таких случаях в договорах кредитной организации с клиентом детально оговариваются все технические и юридические аспекты доказательности и распределения ответственности в случае реализации факторов риска, приводящей к невыполнению обязательств перед клиентами со стороны этой организации. Эта проблема затрагивает и организацию ее отношений со своими провайдерами.

В статье 847 ГК РФ «Удостоверение права распоряжения денежными средствами, находящимися на счете» сказано следующее:

«1. Права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом, установленными в соответствии с ним банковскими правилами и договором банковского счета…

3. Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (пункт 2 статьи 160), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом».

При переходе к применению ТЭБ рассматриваемые положения становятся существенно значимы потому, что после заключения клиентом с кредитной организацией договора банковского счета и дополнительного соглашения к нему (или отдельного договора/контракта) на ДБО, он взаимодействует с организацией с помощью СЭБ «из-за горизонта». На возникающем же феномене взаимной анонимности основано множество финансовых преступлений, о возможности и способах осуществления которых предпочтительно знать заранее (обеим сторонам) и принимать адекватные и согласованные меры противодействия этому для снижения уровней сопутствующих компонентов банковских рисков. Поэтому важнейшим, подлежащим решению, вопросом, как ОИБ, в данном случае, защиты финансовых средств клиента и принадлежащей ему информации, так и с позиций ПОД/ ФТ, является обеспечение подтверждения идентичности и аутентичности клиента. Что же касается упоминавшейся ст. 160 ГК РФ, то в ней сказано:

«2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон».

Допуская применение «аналога собственноручной подписи» (АСП), ГК РФ не определяет конкретные требования к таким средствам, чтобы их можно было обоснованно считать такими «аналогами» и использовать сторонами удаленного информационного взаимодействия (в данном случае кредитной организацией и ее клиентами, хотя такие средства целесообразно применять и в удаленном взаимодействии с провайдерами — при ведении ими wеb-сайтов кредитной организации и пр.). Поэтому остаются нерешенными вопросы о том, наличие каких свойств означает собственноручную подпись и отсутствие хотя бы одного из каких свойств не позволяет считать «электронный документ» имеющим юридическую силу. Решение их остается за кредитными организациями, которые должны при необходимости обеспечить адекватное подтверждение идентичности и аутентичности, равно как и за их клиентами, которые, не имея, как правило, специальной подготовки (в части теории кодирования), должны решать, соглашаться им на предлагаемые кредитной организацией условия ДБО или нет. Кстати, в итоге в упомянутых договорных документах появляются фразы типа «все операции, производимые с использованием РIN-кода, оспариванию не подлежат», цитируемые при рассмотрении претензий, связанных с последствиями карточных мошенничеств.

Надо отметить и то, что для разрешения спорных или конфликтных ситуаций часто предполагается создание специальных технических или согласительных комиссий, — это фиксируется в документах, определяющих соглашение на ДБО. Однако, как правило, порядок создания и работы таких комиссий, требования к квалификации ее членов (подтверждаемых конкретными документами), описание результатов ее работы с подготовкой документов, которые примет к рассмотрению, допустим, Арбитражный суд, и т. п., не указываются. Ссылка из ст. 160 на ст. 434 ГК РФ «Форма договора» незначительно проясняет ситуацию, поскольку в ней сказано следующее:

«1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.

Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.

2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору».

Следует подчеркнуть, что в какой бы форме ни осуществлялось сетевое информационное взаимодействие между сторонами договорных отношений, гарантии целостности, конфиденциальности и однозначности такого взаимодействия должны быть установлены и понятны обеим взаимодействующим сторонам, особенно клиентам кредитных организаций.

Кстати сказать, упоминаемый в выдержке из ст. 160 «закон» — это Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», который так и не получил механизма собственной реализации (других ссылок обнаружить не удалось) и о котором клиенты ДБО также имеют минимальное представление, тем более что чаще в текстах договоров фигурирует именно понятие АСП (как правило, не определяемое). Здесь можно отметить еще и такое текстуальное расхождение: в ст. 160 ГК РФ сказано об «электронно-цифровой подписи», а Федеральный закон говорит об «электронной цифровой подписи» (как говорится, «почувствуйте разницу»). Это тоже свидетельствует о целесообразности точного определения и согласования того, что должно составлять доказательную базу электронного банкинга и каким образом гарантировать юридическую силу его свидетельств. Причины же, по которым клиенты ДБО соглашаются с текстами неполных и не очень понятных договорных документов, для автора остаются загадкой.

В тех случаях, когда все условия выполнения взаимных обязательств (включая ОИБ), подтверждения идентичности и аутентичности, разрешения спорных ситуаций и т. п. оговорены точно, уровни правового и репутационного рисков удается существенно снизить уже потому, что возникает гораздо меньше разногласий при возникновении конфликтных ситуаций и упрощается претензионная работа. Из изложенного следует потребность согласованного объединения усилий и квалификации нескольких подразделений кредитной организации, внедряющей ТЭБ, для того чтобы правовое, технологическое и техническое обеспечение ДБО можно было считать в совокупности полноценным и сопряженным с минимальными (остаточными) уровнями компонентов типичных банковских рисков (которые хеджируются). Организация и контроль указанного взаимодействия являются, естественно, прерогативой высшего руководства кредитной организации и ее исполнительных органов, и в оптимальном варианте то и другое находит свое отражение во внутрибанковских документах, включая положения о соответствующих структурных подразделениях.

5.8. Адаптация работы с удаленными клиентами.

Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организацией реальных, например, платежных документов, приводит к возникновению дополнительных проблемных задач, которые в свою очередь ассоциируются с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки — в случае варианта интернет-банкинга), переводит СЭБ в некий режим работы, априори, ему естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например, с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.

Поэтому помимо изложенного в параграфе 5.7 не исключено, что в системах электронного банкинга и БАС логично было бы предусматривать некие механизмы защиты, в известной мере аналогичные «искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати сказать, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга (ИБ) и банковской автоматизированной системой операторов, но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи, а их по всей стране уже миллионы, и число их постоянно растет. В любом варианте тем не менее остаются открытыми вопросы, что делать, например, если клиент вместо платежа в пять тысяч «денег» отправил пятьдесят или допустил ошибку в реквизитах платежа, или ввел «недопустимое» значение (оказавшееся допустимым из-за пробела в программе и методике проведения ПСИ) и т. д., а потом пытается разрешить недоразумение. Кроме того, клиент может проводить сеанс из интернет-кафе (что не было запрещено ему договором на ДБО) или из банковского интернет-отделения вольного города Бремена и создать инцидент информационной безопасности, либо кредитная организация окажется объектом сетевой атаки и указанный инцидент будет создан, либо СЭБ окажется недоступна и т. п. В подобных ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны и точно так же очевидна и необходимость предусматривать их, разрабатывая модели угроз надежности банковской деятельности. К слову, можно отметить, что инциденты информационной безопасности оказываются эффективным способом проверки «достаточности» АСП, что предполагает учет таких ситуаций в программах и методиках ПСИ (как минимум), а лучше на более ранних этапах испытаний.

Применение любой СЭБ предполагает ответственное отношение руководства кредитной организации к определению порядка и содержания претензионной работы с клиентами ДБО. Поскольку в основном соответствующие мероприятия имеют отношение к сбоям в работе ее АПО или оборудования провайдеров, проведению расследований инцидентов информационной безопасности и решению спорных вопросов, связанных с ошибками, допускаемыми клиентами, т. е. разрешению конфликтных ситуаций в рамках этой работы, то базовый набор ее направлений можно считать определенным. Поэтому от исполнительных органов кредитной организации зависит организация и контроль осуществления разработки такого внутрибанковского документа, как «Порядок ведения претензионной работы при дистанционном банковском обслуживании»[175], содержание которого, во-первых, охватывало бы все технологии электронного банкинга, внедренные в кредитной организации (из чего следует наличие ее «доли» в метапроцессе электронного банкинга), во-вторых, соответствовало бы составу направлений (причин) возникновения угроз надежности банковской деятельности — с точки зрения клиентов ДБО.

Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких-либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае — и риска неплатежеспособности). Соответственно если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.

В случае же использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат). Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк ХХI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнес-планирования, ТЭО и т. п.).

В связи с изложенным необходимо предусмотреть формирование, поддержание и достаточно долгосрочное хранение доказательной базы по ордерам клиентов кредитной организации и предоставленным банковским услугам (прежде всего по выполненным в соответствии с ними операциям). Для этого в кредитной организации должны приниматься руководящие решения относительно определения состава клиентских и банковских данных, порядка их формирования и сопровождения (включая процедуры восстановления в нештатных ситуациях) и необходимые процедуры, входящие в состав определенного таким образом комплексного внутрибанковского процесса. Этот процесс (часть процедур которого относится к процессам ОИБ, ВК и ФМ) следует разработать и официально утвердить, распределить ответственность и обязанности, права и полномочия, управляющие и контрольные функции, а также организовать соответствующее управленческое наблюдение. Наиболее важными вопросами, которые необходимо решать при этом, является обеспечение целостности, доступности и конфиденциальности упомянутых массивов данных, однако надо заметить, дело не ограничивается взаимоотношениями кредитной организации и ее клиентов ДБО.

Руководству кредитной организации целесообразно четко осознавать необходимость наличия перечисленных процедур и гарантий с учетом требования Банка России, правоохранительных органов и других органов финансового контроля. В последние годы вместе с заметным обострением ситуации с ФМ в широком смысле и ПОД/ ФТ в частности (из-за чего за последние три года отозвано более сотни лицензий на осуществление банковских операций) актуальность приобрел вопрос своевременного предоставления заинтересованным федеральным учреждениям сведений о деятельности клиентов, в том числе клиентов ДБО. Для «удовлетворения» такого спроса сами кредитные организации, по-видимому, должны быть заинтересованы в том, чтобы требуемую информацию можно было предоставить, не вызывая ненужных подозрений у представителей этих учреждений. Поэтому логично видеть связь этой проблематики с претензионной работой с клиентами и развитием ДБО.

Для этого руководству высокотехнологичной кредитной организации целесообразно оптимально (т. е. полно и адекватно) сформулировать задачу «правильного выстраивания» отношений с клиентами ДБО и контрагентами, которая нередко если и не выходит на первый план, то весьма близка к этому. В оптимальном варианте такое понимание находит свое отражение прежде всего в тех внутрибанковских документах, которые регламентируют:

— осуществление ДБО, эксплуатацию СЭБ и сопровождение функционирования поддерживающих его компьютерных систем;

— изучение структуры типичных банковских рисков и определение их компонентов, уровни которых могут оказаться значимыми;

— выделение значимых компонентов банковских рисков, источники которых концентрируются в клиентской зоне риска;

— определение последствий реализации выделенных компонентов банковских рисков, их структурной принадлежности и влияния;

— определение мероприятий, подлежащих выполнению для исключения или парирования влияния компонентов банковских рисков.

Приведенный перечень уточняется кредитной организацией исходя из установленных потенциальных уязвимостей, архитектуры ИКБД, доступных ресурсов, ожидаемых последствий (правовых, репутационных, стратегических) реализации компонентов банковских рисков и т. д.

В случаях недостаточной проработки вопросов, связанных с защитой прав клиента ДБО и обеспечением выполнения обязательств перед ним, что отражается (или должно было бы отражаться) прежде всего в договоре на ДБО, лишняя (и совершенно необязательная) «головная боль» кредитной организации гарантирована. Впрочем, практика изучения содержания договоров такого рода свидетельствует, что кредитные организации обычно оговаривают для себя отсутствие ответственности за прерывания обслуживания удаленных клиентов в связи с какими бы то ни было обстоятельствами. При этом нередко о каких-либо правовых последствиях, не выполнении взятых на себя обязательств, ущербе, нанесенном клиенту (в том числе в форме невыполнения им своих финансовых обязательств перед третьей стороной) и т. п. речи в текстах не идет. Впрочем, ситуация вроде бы облегчается тем, что, судя по содержанию договоров, клиентов ДБО эта проблематика совершенно не беспокоит, но, как выясняется впоследствии, лишь до нанесения им реального ущерба, когда случившееся может оказаться для них уже необратимым (в смысле финансовых потерь).

В оптимальном варианте организации ДБО сценарии такого рода отражаются (прямо или косвенно) прежде всего в содержании договоров на такое обслуживание, внутренних порядках кредитной организации (начиная с УБР) и должностных инструкциях ее специалистов, что и представляет собой первый результат ориентированного на выявление источников рисков процесса анализа в форме конкретной процедуры, которую можно продемонстрировать клиентам и впоследствии Банку России. Тщательность проработки текстов договоров, безусловно, послужит на пользу обеим сторонам, поскольку предусмотреть удастся если и не все, то большинство проблемных и (или) кризисных ситуаций (угроз), одновременно максимально обезопасив заинтересованные стороны. Далее в качестве второго результата можно предложить организацию входящей в этот же процесс процедуры оповещения клиентов о тех проблемах, с которыми им, может быть, придется встретиться в условиях ДБО. Например, могут быть даны разъяснения относительно уловок фишеров[176], способов хищений при использовании клиентами банкоматов, гарантий безопасности при использовании той или иной технологии электронного банкинга, как и наличие демоверсий соответствующего программного обеспечения на wеb-сайтах кредитных организаций и т. п. наверняка способствовали бы улучшению имиджа этих организаций и популярности ее среди реальных и потенциальных клиентов.

Любое обслуживаемое той или иной кредитной организацией лицо (неважно, юридическое или физическое) должно быть в первую очередь уверено, что при использовании им СЭБ для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент, к примеру, сам вводит в адресную строку своего браузера адрес информационного или операционного wеb-сайта этой кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, так как открытые системы компьютерной связи подвержены атакам со стороны разного рода «компьютерных мошенников» (кстати, не обязательно хакеров). Например, в случае атак типа фишинга клиент может быть введен в заблуждение относительно того, что он имеет дело с известной ему кредитной организацией, с последующей «выдачей» данных своей персональной идентификации или номера банковской карты, которые затем окажутся использованными мошенником для хищения финансовых средств или в каких-то других целях. По статистике на это попадается примерно 5 % клиентов[177] (кажущаяся незначительность этой цифры не должна вводить в заблуждение — все зависит от того, какой именно клиент «клюнет»), тем более в мире действуют тысячи хакерских и фишерских wеb-сайтов, распространяющих потенциально опасное программное обеспечение.

Одна из атак этого вида инициируется фишером, который может воспользоваться доступными справочниками (базами данных) wеb-адресов для рассылки сообщений, в которых под упомянутым благовидным предлогом клиенту предлагается подтвердить персональную идентификационную информацию с помощью гиперссылки, через которую якобы инициируется соответствующий диалоговый интерфейс с кредитной организацией. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер, вот только адресная строка, которую видит клиент и которая ему знакома, представляет собой фальшивый элемент изображения, формируемый специальным JаvаSсriрt'оМ и наложенный на изображение настоящей адресной строки, в которой фигурирует (но, понятно, не виден клиенту) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (httрs://), на изображении также присутствует программная кнопка «Переход» («Gо»), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т. е. это не статичное изображение, а «живой» код Jаvа. Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех wеb-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, «установленной». В наихудшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через wеb-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но по статистике мало кто из атакуемых об этом задумывается.

Не случайно и появление wеb-сайтов-подделок, которые оформляются аналогично настоящим wеb-сайтам кредитных организаций и предназначены также для «извлечения» персональной идентификационной информации, за чем далее следуют хищения финансовых средств. Поэтому Банк России сообщил об этом банковскому сообществу[178] и начал размещать на своем wеb-портале сведения о настоящих адресах wеb-сайтов кредитных организаций, которые поступают в составе регламентной банковской отчетности.

Специалистам фактически атакуемых кредитных организаций уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться их клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов ДБО о необходимости крайне внимательного отношения к фишингу, информировать о мерах предосторожности и т. п., да и проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из упоминавшихся выше банковских рисков. Прежде всего будет поддержано доверие клиентов к ДБО (а за ним скрыты компоненты репутационного и стратегического рисков), конечно, при сохранении функциональности СЭБ. Далее клиенты не будут иметь оснований для предъявления претензий по поводу того, что «введению» их в заблуждение способствовала сама предложенная кредитной организацией и, «как оказалось, ненадежная» ТЭБ. Наконец, не возникнет обвинений кредитной организации в неплатежеспособности (невыполнении финансовых обязательств в установленные интервалы времени).

Однако в «зоне риска» клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении и поддержании информационной безопасности. Необходимо помнить, что клиенты кредитных организаций, являющиеся «всего лишь людьми», весьма склонны к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил использования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях, утрата средств персональной идентификации или их компрометация в случае хищений (физических и компьютерных с помощью вирусных программ, сканирования при банкоматном обслуживании и т. п.) и др. Соответственно в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе перехвачены), после чего клиент теряет «живые деньги» или же нарушается конфиденциальность его информации, либо она оказывается искаженной или уничтоженной и т. п., претензии такой клиент предъявит прежде всего к кредитной организации (даже если на самом деле проблема была связана с недостатками в деятельности каких-либо провайдеров). Поэтому во избежание реализации связанных с подобными ситуациями компонентов типичных банковских рисков специалистам кредитной организации целесообразно заранее проработать возможные сценарии неправильного поведения клиента ДБО, составить модели связанных с этим потенциальных угроз (и для кредитной организации и для клиента) и их развития, предусмотреть соответствующие меры и средства защиты, «обкатать» их в ходе проведения ПСИ СЭБ и, наконец, отразить в документе, регламентирующем порядок претензионной работы с клиентами ДБО, или его аналоге. Все это может быть реализовано как процедуры процесса УБР.

Не исключено, что, учитывая тенденцию к увеличению количества вариантов хищения персональной информации кредитным организациям целесообразно рассмотреть возможности усложнения процедур идентификации клиента при начале им сеанса ДБО и перед выполнением банковской операции, т. е. перехода к двухэтапной идентификации с разделением каналов информационного взаимодействия, несмотря на то что этот подход может повысить накладные расходы при ДБО. Для усложнения идентификации человека можно использовать то, что он:

— имеет — пропуск, паспорт, кредитную карту и т. п.;

— знает — пароль, кодовую фразу, последовательность действий;

— обладает — отпечатками пальцев, радужной оболочкой глаза и т. п. (биометрия).

За рубежом биометрические системы используются уже довольно широко не только на «режимных» объектах, но и в торговле и в банковских учреждениях и т. д. Естественно, применение таких систем может существенно сказаться на стоимости услуг ДБО, что допустимо лишь при одновременном адекватном повышении его эффективности (рентабельности), что в большинстве случаев для российского банковского сектора пока еще затруднительно. Однако организовать параллельные каналы информационного взаимодействия можно и за счет дублирования однотипных по принципу работы телекоммуникационных систем, например, если при начале сеанса от клиента требуется ввод некоего кода (РIN, ID, Lоg-In и пр.) с клавиатуры (тастатуры), то перед завершающим этапом операции от БАС или СЭБ кредитной организации может передаваться сеансовый код, допустим, на мобильный телефон. Схемы такого рода (системы опознавания), широко известные в оборонной тематике, повышают защищенность интересов клиента и ДБО в целом.

Помимо изложенного необходимо отметить, что история развития ДБО в российском банковском секторе (особенно в последние три года) богата претензиями клиентов к кредитным организациям, специалистам и руководителям которых приходится при разборе конфликтных ситуаций объяснять, к примеру, что:

— технические проблемы с инсталляцией дистрибутива и управлением СЭБ необходимо решать с помощью службы технической поддержки кредитной организации или ее сервис-центром, а не со случайными специалистами;

— никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе;

— необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев, какого бы доверия они ни заслуживали;

— пользоваться только и исключительно теми средствами и каналами связи (информационного взаимодействия), которые указаны в официальных документах кредитной организации;

— своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации;

— при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона;

— перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.

Все перечисленное и еще многое сверх того (в зависимости от разновидности системы ДБО) лучше сообщать заранее, требуя от клиента при этом расписываться на каждом листе договора в двух экземплярах, а не только на последнем. Информацию такого же рода целесообразно размещать в офисах кредитной организации, на ее wеb-сайтах, в рекламных буклетах и т. п.

5.9. Адаптация плана действий в чрезвычайных обстоятельствах.

Непосредственных требований к содержанию плана действий персонала кредитных организаций в чрезвычайных обстоятельствах и использованию этого плана до настоящего времени не выработано и в отечественной законодательной базе, регламентирующей банковскую деятельность, не содержится. Косвенно о них (в форме рекомендаций, через требования к ВК) можно судить по тексту Положения 242-П, в котором сказано:

«3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.

Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения приведены в приложении 5 к настоящему Положению».

В указанном приложении описывается, по сути, подход к определению содержания и организации процесса поддержания доступности информационно-процессинговых ресурсов кредитной организации в условиях возникновения чрезвычайных обстоятельств, который состоит из процедур разработки, согласования, утверждения, пересмотра и проверки (тестирования) упомянутого плана. Анализ положений этого документа не относится к тематике настоящей книги, тем более что многие из них являются универсальными в плане применения к любым банковским автоматизированным системам, поэтому ниже будут сделаны только несколько замечаний относительно специфики использования содержащихся в нем рекомендаций в условиях внедрения и последующего развития кредитной организацией ДБО.

За рубежом рассматриваемые планы действий обычно подразделяются на две части: обеспечение непрерывности бизнеса и восстановления после чрезвычайной ситуации[179], которые интерпретируются как совокупности мер по предотвращению негативного воздействия потенциально угрожающих надежности банковской деятельности обстоятельств и парированию их последствий, если требуемую надежность обеспечить все же не удалось. Для определения показателей надежности устанавливаются значения, характеризующие допустимые рамки для интервалов прекращения операций. Это, как правило, высокие вероятностные значения порядка 0,95—0,97. Исходя из этих цифр и положений известной теории надежности определяются требования к схемам резервирования оборудования, включая каналы (линии связи), способам, средствам и времени восстановления работоспособности, ее показателям и т. п. Тестирование планов действий кредитных организаций в чрезвычайных обстоятельствах является типичным процессом во многих странах, причем оно может иметь разные масштабы: одной организации, группы филиалов организации (например, объединяемых по географическим признакам для имитации воздействия стихийных бедствий или техногенных катастроф), групп кредитных организаций или даже банковской системы в целом.

В российском банковском секторе такой подход пока еще нельзя назвать распространенным, он характерен для кредитных организаций, являющихся дочерними структурами зарубежных коммерческих банков. По-видимому, это обусловлено еще одним проявлением упоминавшегося в главе 4 «квалификационного разрыва», поскольку понятия содержания банковской деятельности, трактуемого в узком, традиционном смысле, и технологической надежности, от которой теперь полностью зависит эта деятельность, с единых позиций ранее не интерпретировались и не регламентировались. Однако в свете интенсивного использования технологий и систем электронного банкинга такая интерпретация уже стала актуальной, так что адаптация процесса, рассматриваемого в настоящем подразделе, также находит свое место в составе внутрибанковского мета-процесса.

Упомянутые в Положении 242-П «непрерывность деятельности и (или) восстановление деятельности» относятся ко всем техническим средствам в ИКБД ДБО, от которых зависит выполнение кредитной организацией обязательств перед своими клиентами (независимо от того, что в Федеральном законе от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» использованы только понятия кредитора и вкладчика, с чем, видимо, связаны формулировки в Положении 242-П), поскольку в современных условиях собственно понятие банковской деятельности, как об этом говорилось в главе 1, подлежит широкой трактовке в силу многообразия таких обязательств. Вследствие этого внедрение первой же ТЭБ и реализующей ее СЭБ (вкупе с БАС кредитной организации) в оптимальном варианте организации указанной деятельности приводит к существенному, а иногда и к радикальному пересмотру как самих планов действий в чрезвычайных обстоятельствах, так и порядка тестирования этих планов. В том и в другом случае в них появляются принципиально новые разделы, которые ранее, до перехода к ДБО, появиться просто не могли. При этом из-за возникновения ИКБД и влияния его характеристик состав этих разделов будет достаточно разнообразен, поскольку требуется охватить все негативные ситуации, которые могут возникнуть в самой кредитной организации, у ее провайдеров и клиентов и в каналах (линиях) связи, включая возможные сетевые, хакерские и вирусные атаки.

Учет состава ИКБД и ассоциируемых с ним источников компонентов банковских рисков, распределенных по зонам их концентрации, может оказаться непростой задачей, хотя, безусловно, решаемой. Поэтому и разветвлений в указанных планах может быть довольно много уже потому, что любой удаленный клиент должен, во-первых, быть предупрежден о возникновении чрезвычайных обстоятельств, во-вторых, получить какими-либо резервными способами доступ к необходимым ему ресурсам кредитной организации и, в-третьих, представлять себе, чем гарантирована целостность и конфиденциальность его данных. Поэтому руководству такой организации, переходящей к ДБО, целесообразно оценивать свою ресурсную базу с точки зрения ее достаточности для обеспечения выполнения упомянутых обязательств в условиях ДБО и инициировать адаптацию планов действий в обеспечение их выполнения в чрезвычайной ситуации. То же самое относится к «плану действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности» при ДБО.

Справедливости ради следует отметить, что подобные планы имеются в большинстве отечественных кредитных организаций, однако качество их во многих случаях не выдерживает критики потому, что само их содержание не свидетельствует о полном и адекватном учете всех потенциальных наиболее серьезных (т. е. приводящих к форсмажорным событиям) источников компонентов банковских рисков, а также вследствие очевидной ориентации на принятие решений исполнительным персоналом на месте, вместо следования заблаговременно четко и однозначно определенным процедурам. Если просто говорить о влиянии внедрения в банковскую деятельность любой.

СЭБ, то зачастую этот факт не приводит к пересмотру содержания рассматриваемых планов, прежде всего потому, что отсутствуют необходимые руководящие решения, ориентированные на конкретные подразделения кредитной организации, а если такие решения имеются, то часто «не срабатывает» соответствующая контрольная функция (в обеспечение их выполнения), что свидетельствует о недостатках в процессе ВК.

Внедрение каждой новой СЭБ (не говоря уже о ТЭБ) должно, в общем случае, приводить в рамках мета-процесса к пересмотру содержания и разработке новых редакций как самих планов, так и порядков их тестирования. Тем самым каждый раз будет совершаться очередной виток соответствующего цикла, за счет чего и сможет быть обеспечена надежность банковской деятельности (в ее технологической и технической части). Важно при этом не забывать, что задачи обеспечения доступности банковских автоматизированных систем и восстановления их штатного функционирования в условиях ДБО являются комплексными и решать их целесообразно с позиций оптимизации процесса УБР.

5.10. Организация отношений с провайдерами.

Кредитные организации все чаще передают выполнение тех или иных технологических процедур, связанных с обработкой, передачей и хранением банковских данных, сторонним организациям, т. е. провайдерам услуг, вследствие чего оказываются в той или иной мере зависимыми от этих провайдеров, как и клиенты этих организаций. Зависимости, возникающие в ИКБД, могут быть достаточно разнообразными, и по этой причине управление отношениями с провайдерами требует организации специального внутрибанковского процесса (как совокупности процедур, ориентированных на различные сегменты этого контура ДБО). Несмотря на то что аутсорсинг[180] может улучшить банковское обслуживание, способствовать его оптимизации и контролю над стоимостью, а также обеспечить техническое содействие, требуемое для поддержания и расширения предлагаемых услуг, он привносит в банковскую деятельность дополнительные рисковые компоненты, которые целесообразно учитывать кредитным организациям в процессе УБР. Кроме того, возрастает подверженность самих кредитных организаций банковским рискам, компоненты которых связаны с состоянием и характеристиками деятельности провайдеров (поскольку зависимость означает уязвимость) в части источников компонентов операционного, правового и репутационного рисков, начиная с отказов оборудования этих организаций, продолжая раскрытием конфиденциальной информации, сетевыми атаками и заканчивая визитом налоговой инспекции[181].

Что касается особенностей применения аутсорсинга в целом и организации отношений с провайдерами, то одним из наиболее важных вопросов становится организация взаимодействия с теми провайдерами, с которыми ранее никакие отношения кредитными организациями не поддерживались в силу отсутствия у них необходимости в такого рода услугах. Тем не менее внедряемые в кредитной организации бизнес-процессы, связанные с ДБО и реализующие отношения в рамках соглашений на аутсорсинг, также логично было бы рассматривать с позиций внутрибанковского «метапроцесса», поскольку, во-первых, ключевые требования к ним аналогичны, — все они связаны с выполнением ею обязательств перед клиентами, во-вторых, каждая новая ТЭБ может потребовать привлечения дополнительных сторонних организаций к формированию нового или модернизации уже используемого ИКБД в обеспечение предоставления клиентам ДБО новых сервисов.

При определении содержания договоров с такими провайдерами целесообразно четко определять права и обязанности сторон исходя прежде всего из состава обязательств перед клиентами кредитной организации. Одновременно желательно прорабатывать те или иные запасные варианты (в зависимости от вида аутсорсинга), в которых предусматриваются дополнительные маршруты или способы информационного взаимодействия с клиентами, способы оповещения их о тех или иных проблемных ситуациях вместе с подтверждением гарантий соблюдения их интересов, объяснением причин возникновения таких ситуаций и предложениями конкретных действий, позволяющих это взаимодействие продолжить и т. п. Необходимо упомянуть также возможную зависимость от поставщиков АПО систем электронного банкинга (вендоров), хотя такого рода зависимости обычно аутсорсингом не считаются, но, с точки зрения автора, если компания-разработчик комплекса ДБО по каким-либо причинам уйдет с этого рынка, то СЭБ кредитной организации останется без сопровождения, а вместе с ним исчезнут и возможности для ее развития и расширения соответствующего направления банковской деятельности. Мало того, при этом не исключена и реализация компонентов стратегического риска, поскольку если СЭБ приобретена «под ключ» или заказана, то с течением времени может возникнуть потребность замены этой АС (в силу ее устаревания), а значит, возникнут расходы на вывод ее из эксплуатации и на приобретение другой СЭБ (те же финансовые потери).

Помимо изложенного, если говорить о возможных проблемах с представительствами кредитной организации в Сети, без которых уже не обойтись, необходимо помнить, что любой wеb-сайт может стать объектом атак хакеров, так что его содержание в общем случае уязвимо, причем, возможно, далеко неблагоприятным для самой организации образом (например, разрушение содержимого сайта, внедрение антирекламы, порочащих изображений, ссылок, баннеров и пр.). Эта проблематика рассматривается в главе 6, здесь же уместно отметить, что вследствие наличия этих и других негативных факторов кредитной организации оказывается необходим и соответствующий компонент плана действий в чрезвычайных обстоятельствах (параграф 5.9). Такой компонент в силу множественности негативных факторов и источников компонентов операционного, правового и репутационного рисков неизбежно также оказывается комплексным, тем самым его составление предполагает проведение если и не всестороннего, то достаточно объемного анализа, который могут провести совместно подразделения автоматизации (информатизации), ОИБ, ФМ и УБР (если оно выделено в отдельную службу), желательно под руководством представителя совета директоров или исполнительных органов кредитной организации (ввиду значимости интернет-сегмента для любой организации в настоящее время).

Содержание упомянутого раздела плана действий в чрезвычайных обстоятельствах может быть различным в зависимости от политики кредитной организации относительно использования собственных и сторонних представительств в Сети, назначения и конкретного размещения wеb-сайтов. Если wеb-сайт располагается на вычислительных «мощностях» компании-разработчика, интернет-провайдера или другой сторонней организации, то целесообразно еще до начала его практического использования (а лучше — проектирования) проанализировать сопутствующие компоненты банковских рисков и представить возможные последствия их реализации (включая, естественно, юридические). При этом, как и в других случаях аутсорсинга, в оптимальном варианте изучается репутация провайдера, возможно, его финансовая отчетность, АПО (с оценкой его надежности), квалификация персонала, опыт работы на данном рынке аутсорсинга и репутация, состояние ОИБ и т. д. Вся эта информация служит для оптимизации содержания контрактов на обслуживание и становится особенно важна в тех случаях, когда от функционирования провайдера прямо зависит качество обслуживания клиентов кредитной организации и могут затрагиваться их интересы. В такой ситуации содержание контрактов с провайдером логично было бы коррелировать с содержанием договоров с клиентами ДБО, особенно в части распределения ответственности в случае наступления предполагаемых чрезвычайных обстоятельств, а также в части механизмов возможных сопутствующих судебных разбирательств. Впрочем, если wеb-сайт располагается на вычислительных средствах самой кредитной организации, то соответствующий ряд процедур, относящихся к провайдерам и взаимоотношениям с ними, исключается из рассмотрения состава источников компонентов банковских рисков, хотя в рассматриваемом плане он все равно остается ввиду наличия угроз сетевых атак на информационно-процессинговые ресурсы самой организации.

Наконец, завершая этот параграф, необходимо упомянуть использование кредитными организациями «оффшоринга», что требует регулярного мониторинга, помимо рассматривавшихся банковских рисков, еще и странового риска (почему он и упоминался в главе 2). Организация, прибегающая к такому аутсорсингу, вынуждена вести мониторинг процессов, происходящих за рубежом, — политических, экономических, социальных, правовых — в стране дислокации провайдера услуг. Ей в соответствии с рекомендациями БКБН[182] следует также разработать план действий в случае прекращения выполнения своих обязательств таким провайдером (в том числе неожиданного) и «стратегию выхода» из контрактных отношений. В оптимальном варианте на крайний случай должны предусматриваться мероприятия по экстренному «возврату» выполнения необходимых функций на территорию своей страны, что предполагает наличие либо резервных мощностей у самой кредитной организации, либо резервной договоренности с аналогичным провайдером, предпочтительно резидентом.

В результате при обсуждении пруденциальной организации взаимодействия с провайдерами речь должна идти о комплексе процедур, т. е. о процессе, в котором могут быть задействованы и операционные подразделения кредитной организации, и ее инженерно-технические специалисты, и юристы, наряду (возможно) со специалистами по ОИБ, ФМ и ВК (имея в виду систему ВК), а также сервис-центр. Очевидно, что формирование указанного процесса и его циклическая инициация по мере внедрения новых банковских информационных технологий является прерогативой высшего руководства или исполнительных органов кредитной организации, что целесообразно «закрепить» в ее внутренних документах. Логичным следствием этого должно являться распределение соответствующей ответственности и обязанностей (ролевых функций), подконтрольности и подотчетности между структурными подразделениями организации с доведением действия этой компоненты адаптации документарного обеспечения ДБО в кредитной организации (параграф 5.1) до должностных инструкций ответственных исполнителей в этих ее подразделениях и дополнения содержания процесса ВК в ней. Все это позволит снизить уровни компонентов банковских рисков, ассоциируемых с наличием зависимости надежности ДБО от провайдеров.

Глава 6. Управление wеb-отношениями кредитной организации.

Особые условия требуют особых решений.

Гарри Гаррисон, «Специалист По Этике».

Wеb-отношения возникают у кредитной организации фактически уже при выходе ее в Сеть, с начала использования ею какого-либо wеb-представительства. Функционирование wеb-сайта определяется преимущественно тем АПО, на котором он реализован. Если возникают какие-то неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т. п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее wеb-представительствами, зависит от дислокации конкретного сайта и условий его функционирования (в том числе документально зафиксированных).

В том случае, когда «хозяином» wеb-сайта в полном смысле является сама организация и необходимые для нормальной работы в Сети wеb-сервера, брандмауэры, прокси-сервера, почтовые сервера и другое оборудование установлено непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, оперативно решаются ее же персоналом. Впрочем, здесь многое зависит от того, достаточен ли этот персонал для обслуживания СЭБ, имеет ли он необходимую квалификацию, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые положения имеются в должностных инструкциях и планах действий на случай чрезвычайных обстоятельств, доведены ли они до конкретных исполнителей (реально) и т. п.

В случае размещения wеb-сайта кредитной организации на средствах сторонних организаций (интернет-провайдера, компании-разработчика wеb-сайта и др.) ситуация может измениться радикально. Прежде всего процесс внедрения ДБО следует начинать с выбора провайдера и определения отношения с ним. Если вернуться к материалам органов банковского регулирования и надзора США, то, скажем, FFIЕС рекомендует кредитным организациям внедрение специальных процессов управления компонентами рисков, которые включают выявление, измерение, мониторинг и контроль рисков, связанных с технологическим обслуживанием в рамках аутсорсинга. В его рекомендациях описываются следующие 4 ключевых процесса для учета кредитными организациями таких рисков: «1) оценка риска, 2) выбор провайдера услуг, 3) определение содержания аутсорсинга и 4) проверка контрактов и текущий мониторинг провайдеров услуг». В данной книге это компоненты процесса взаимодействия с провайдерами, рассмотренного в главе 5.

Отдельного рассмотрения требует такой вариант ДБО, при котором различные его виды предлагают как головной офис кредитной организации, так и ее филиалы (в первую очередь это относится к интернет-банкингу). В оптимальном варианте этой деятельности предполагается, что вся банковская «субсистема» такой кредитной организации (имея в виду в совокупности ее головной офис, филиалы, отделения, представительства и прочие возможно выделенные подразделения) действует исходя из принятой в ней соответствующей корпоративной политики, в которой помимо организационно-технологических аспектов предусмотрен аналог «группового подхода», описанный БКБН. Проще говоря, ведение и сопровождение wеb-сайта головным офисом кредитной организации и, например, любым ее филиалом не должны иметь принципиальных различий и характеризоваться пруденциальным подходом. Это относится и к определению и модернизации информационного контента wеb-сайта, и к обеспечению его функциональной доступности, и к контролю над целостностью контента, и к контролю и резервированию функциональных возможностей, и т. д.

Важно подчеркнуть, что практически все wеb-отношения образуются и поддерживаются именно в ИКБД и через его посредство. То же самое относится к расширенному в случае ДБО через Интернет периметру информационной безопасности кредитной организации, который «проходит» и через клиентскую зону ответственности, и через программно-технические средства, принадлежащие провайдерам кредитной организации, и через информационные сечения в структурах локальных и зональных вычислительных сетей и т. п.

Содержание wеb-отношений во многом зависит от того, как создавались wеb-сайты, используемые кредитной организацией. По мнению автора, такие представительства в Сети в современном мире являются «одним из ее лиц», однако документы, регламентирующие разработку (или подход к ней), ведение, сопровождение и контроль wеb-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций найти не удается. Понятно, что в этом случае причины отсутствия руководящего банковского внимания к «каким-то там» wеb-сайтам все те же, но на сегодняшний день уже не одна отечественная кредитная организация столкнулась с направленными в «ее wеb-адрес» проявлениями «недобросовестной конкуренции».

Как бы то ни было, вне зависимости от расположения и ведения wеb-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.

Возможно, столь глубокое проникновение в проблематику «wеb-обусловленных» источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология так называемых «wеb-порталов», предлагаемый подход уместно принять к сведению. Конечно, многие из wеb-сайтов кредитных организаций содержат wеb-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум, руководству таких организаций следует знать о связанных с этими обстоятельствами возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется и определяется именно органами управления кредитной организации. Наибольшее число wеb-отношений, в которые вступает кредитная организация при «выходе в Сеть», можно классифицировать по трем видам:

Взаимодействие с клиентами через посредство wеb-ресурсов, обеспечивающих предоставление банковских услуг;

Взаимодействие с провайдерами, обеспечивающими кредитную организацию wеb-ресурсами;

Взаимодействие с другими wеb-ресурсами через посредство гиперссылок (wеb-связей).

Первый случай характеризуется возможностями прямого проявления влияния «интернет-компонентов» банковских рисков через структуры распределенных компьютерных систем, второй — негативным проявлением наличия как сторонних организаций в ИКБД, так и функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами, третий же представляет собой взаимодействие опосредованное, но, как свидетельствует практика, также связанное с факторами банковских рисков. При этом уровни сопутствующих компонентов таких рисков прямо зависят как от архитектурных сетевых решений, так и от содержания контрактов, определяющих обязательства сторон при осуществлении и обеспечении ДБО.

В части причин возникновения новых и совершенно немотивированных причин нежелательного смещения профиля риска кредитной организации сказанное отражается на всех видах wеb-отношений. Прежде всего необходимо отметить, что в кредитных организациях, как правило, отсутствуют внутрибанковские документы, содержащие описание распределения ответственности в отношении тех или иных провайдеров по подразделениям. Точно так же, как правило, «по умолчанию» принимается, что вся необходимая кредитной организации работа в части доступа к ресурсам Интернета и использования wеb-представительств планируется, организуется и реализуется ее подразделением, отвечающим за ИТ «вообще» (информатизацию или автоматизацию). При этом, как следствие, в кредитной организации отсутствует официально утвержденное формальное описание распределения обязанностей и ответственности по видам соответствующих провайдеров. Результатом этого оказывается полная зависимость содержания и качества процесса взаимодействия с провайдерами от менеджеров среднего уровня (развития процесса), а то и от отдельных исполнителей, которые в отсутствие регламентирующих внутрибанковских документов начиная с порядка использования СЭБ действуют в рамках своего понимания этой проблематики — т. е. сути и степени зависимости банковской деятельности от конкретных провайдеров — и собственной квалификации (уровень 2).

Вместе с этим необходимо подчеркнуть, что возникновение и необходимость сопровождения wеb-отношений нередко не воспринимаются руководством кредитной организации как специфическая и достаточно важная для самой организации и ее клиентов задача (за исключением примеров, относящихся к крупным кредитным организациям, обладающим собственными департаментами ИТ). Вследствие этого возникновение и развитие таких отношений «автоматически» относится на сотрудников упомянутых подразделений, как правило, без учета возрастающей функциональной нагрузки, поскольку о содержании и объеме соответствующих обязанностей лица, принимающие решения, имеющие отношение к использованию кредитной организации представительств в Интернете, зачастую не знают. Эта нагрузка увеличивается по мере расширения присутствия кредитной организации в Сети, однако в рамках корпоративного управления банковской деятельностью этому зачастую не уделяется должного внимания. Это, кстати, относится не только к технологии ИБ, ситуация совершенно аналогична для любых вариантов ДБО.

Точно так же и ответственность за выбор провайдеров кредитной организации, организацию и контроль взаимоотношений с ними, а также их состояния с точки зрения их надежности, в кредитных организациях документально чаще всего не определена, поскольку считается, что для решения любых вопросов такого рода достаточно действий менеджеров среднего звена, действующих в рамках своей компетенции. Следствием такого подхода может оказаться (как минимум) чрезмерно затратная политика кредитной организации в отношении провайдеров и повышение уровней компонентов банковских рисков, которые зависят от качества выполнения своих функций провайдерами. Крайним же негативным вариантом может оказаться потеря контроля со стороны кредитной организации над функционированием wеb-ресурсоВ, используемых ею в процессе банковской деятельности, следствием чего может стать возникновение неожиданных «wеb-неприятностей» и повышение уровней типичных банковских рисков. Ситуация с учетом потенциальных источников компонентов этих рисков может усугубиться, если в организации отсутствует специализированный внутрибанковский процесс управления wеb-сайтами и контроля их функционирования.

6.1. Wеb-отношения с клиентами.

Частично вопросы организации и обеспечения взаимоотношений кредитной организации с клиентами ДБО были рассмотрены в главе 5, здесь же кратко рассматриваются их дополнительные особенности в рамках уже wеb-отношений, связанные, как отмечалось выше, с возможностями влияния компонентов типичных банковских рисков через распределенные компьютерных системы. Типичная ситуация характеризуется тем, что недостаточно «компьютерно-грамотный» клиент, использующий ДБО через некую СЭБ, заведомо принимает на себя дополнительные компоненты рисков банковской деятельности, как минимум, операционного риска (но не только). В то же время, поскольку клиенты кредитной организации при реализации таких компонентов банковских рисков всегда предъявляют претензии к ней (а не к провайдеру), для нее они трансформируются в компоненты правового, репутационного и стратегического рисков. Эффекты такого рода обычно классифицируются в качестве так называемого «взаимного влияния рисков», и учитывать их в методике управления рисками наиболее сложно.

Причина заключается в незнании клиентов того, что представляет собой ИКБД и какие «клиентские риски» целесообразно учитывать пользователю конкретной СЭБ (в части самого себя), а виновата в этом кредитная организация, точнее, отсутствие в ней установленного порядка информирования клиента об особенностях ТЭБ и СЭБ, которую он намерен использовать (а ее ВК, то есть представитель этой службы, и сотрудник операционного подразделения, входящий в СВК, не обратили на это внимания). Сказанное выше не означает, безусловно, что технология ИБ или использование wеb-порталов представляют «безусловную угрозу» интересам клиентов кредитной организации или ее самой, речь идет только о желательности внимательного отношения к реализующим эти технологии проектам, их жизненным циклам и сопутствующим факторам возникновения и источникам компонентов банковских рисков. Начинается такое внимание, как правило, с организации взаимоотношений кредитной организации со своими клиентами и с провайдерами, тем более что разработкой и «продвижением» wеb-сайтов занимается все-таки меньшая часть кредитных организаций. Это в основном наиболее крупные из них, исповедующие принцип «если хочешь, чтобы работа была сделана так, как надо, сделай ее сам». Для большинства других организаций, особенно небольших, это неприемлемо (как и самостоятельное решение многих других вопросов, связанных с автоматизацией банковской деятельности, применением банковских автоматизированных систем, систем электронного документооборота и систем электронного банкинга).

На первый план с точки зрения возникновения новых компонентов банковских рисков в связи с клиентами ДБО выходит их недостаточная техническая и правовая подготовка, они могут неточно понимать (или просто не понимать) условия соглашений по ДБО, заключенных ими с кредитной организацией. С учетом этого руководству кредитной организации целесообразно заблаговременно организовать (на официальной основе) тесное взаимодействие между специалистами подразделений ИТ, ОИБ и правового обеспечения как с целью проработки возможных негативных сценариев претензионной деятельности при возникновении каких-либо инцидентов в ИКБД, так и в плане разработки точных инструкций для клиентов ДБО (по их вариантам), а также при необходимости по личному участию в переговорах.

Мало того, изучение претензионной практики, сложившейся за последние несколько лет, свидетельствует, что помимо «компьютерной безграмотности», следствием которой являются нередко весьма ощутимые финансовые потери клиентов (в десятки тысяч и миллионы рублей, часть которых, впрочем, часто удается все-таки вернуть, хотя это стоит определенных затрат нервов, времени и денег), у кредитных организаций пытаются отсудить немалые денежные суммы и недобросовестные клиенты ИБ, предъявляющие претензии относительно имевших якобы место хищений их финансовых средств либо неведомыми хакерами, либо инсайдерами кредитной организации, что случилось как бы из-за недостатков в обеспечении информационной безопасности. Может также инсценироваться компрометация или утрата средств дистанционного доступа к информационно-процессинговым ресурсам ИБ и т. п. К тому же часто традиционно считается, что недопустимо подозревать в клиенте, желающем перейти на ДБО, потенциального или отъявленного мошенника (в отсутствие заведенного на него уголовного дела). Тем не менее известная практика дает серьезные основания для того, чтобы в кредитной организации по мере оказания удаленным клиентам банковских услуг формировалась такая доказательная база, которая позволяла бы при необходимости детально проанализировать содержание тех или иных wеb-отношений в течение конкретных сеансов информационного взаимодействия клиента с СЭБ, чтобы затем адекватно аргументировать позицию кредитной организации в суде. Разные кредитные организации относятся к этой проблематике также различно: одни хранят данные по проведенным операциям в течение суток и если за это время не возникло конфликтных ситуаций, просто уничтожают их, другие, располагающие ресурсами хранилищ данных, накапливают терабайты информации по операциям ДБО, проведенным за годы. Опять-таки, для этого может потребоваться как специальная технологическая и сеансовая информация, так и понимание ее назначения, способов получения, содержания и, самое главное, ее значения лицами, принимающими судебные решения.

Следует добавить, что действия клиентов могут представлять реальные угрозы для кредитной организации, реализующиеся через репутационный, правовой, а то и стратегический риски, тем более в современных условиях отмечавшейся «интернетизации» общественной жизни, т. е. возможностей распространения негативной информации через wеb-сайты, чаты, форумы, рассылки электронной почтой и т. п. Модели таких спорных ситуаций, соответствующих угроз и алгоритмы их парирования также лучше иметь наготове в кредитной организации (подготовить заранее). Еще лучше заведомо поставить клиента ДБО в такие условия, в которых он даже при «противоправном желании» не смог бы нанести ущерб ни кредитной организации (как «имиджевый», так и финансовый), ни другим ее клиентам.

Решающая роль при этом отводится руководству кредитной организации, сознающему наличие дополнительных факторов возникновения источников компонентов банковских рисков, связанных с удаленными клиентами, т. е. концентрирующихся в ее «клиентской» зоне ответственности. Полезно также и в плане УБР и претензионной работы формировать описания процедур, защищающих кредитную организацию в процессе претензионной работы, впрочем, не забывая об обязательствах в отношении клиентов ДБО.

6.2. Wеb-отношения с провайдерами.

Возникновение новых источников компонентов банковских рисков вызвано как самим наличием сторонних организаций в ИКБД, так и появлением функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами. Указанные источники в документах, регламентирующих УБР в кредитной организации, ранее не описывались и не анализировались, а следовательно, в составляющих этот процесс процедурах не отражались. Эти источники (как, впрочем, и во всех остальных случаях возникновения wеb-отношений) желательно выявлять и анализировать с позиций возможно более полного понимания организационных, технологических и технических причин возникновения потенциальных угроз надежности банковской деятельности на основе четкого представления состава и структуры ИКБД, а также ролевых функций всех его участников. При этом целесообразно помнить, что каждому из них свойственна своя специфика, которая подлежит точно такому же специальному учету в частных процедурах общего процесса УБР в условиях ДБО.

Вопросы пруденциального формирования и поддержания кредитными организациями wеb-отношений со своими провайдерами актуальны прежде всего в отношении тех компаний, которые непосредственно содействуют им в использовании представительств в Сети для взаимодействия с реальной и потенциальной клиентурой. К числу таких провайдеров относятся компании, которые предоставляют услуги связи и обеспечивают необходимый кредитной организации трафик, и компании, которые создают для нее wеb-сайты и обеспечивают их функционирование на своих производственных мощностях, а также предоставляют техническое сопровождение (в этом качестве могут выступать интернет-провайдеры, разработчики wеb-сайтов, компании-интеграторы и т. п.). В зависимости от конкретной функциональной роли того или иного провайдера отношения с ним будут строиться по-разному, поскольку с каждым вариантом ассоциируются свои факторы и порождаемые ими подмножества источников компонентов банковских рисков (хотя частично эти подмножества пересекаются).

В российских условиях еще недостаточно развитой конкуренции в области предложения инфраструктуры, обеспечивающей взаимодействие кредитных организаций с внешним миром через виртуальное пространство Сети, кредитные организации пока не располагают необходимыми возможностями для влияния на соответствующие сторонние организации. Свидетельствует об этом в первую очередь то, что даже выбор провайдера для доступа к Сети, получения тех или иных каналов (линий) связи, поддержки телекоммуникационного и внутрибанковского сетевого оборудования, wеb-программирования и т. п. нередко оказывается вынужденным, за исключением, пожалуй, нескольких «развитых» в этом отношении российских регионов[183]. Тем не менее даже если отношения с провайдерами строятся таким «вынужденным» образом, кредитным организациям целесообразно проанализировать возможные причины возникновения дополнительных источников компонентов банковских рисков и учитывать их в содержании общего процесса УБР и входящих в него процедур (как правило, имеющих более «организационно-технический», чем операционный характер). Впрочем, в таких ситуациях двумя наиболее существенными вопросами, подлежащими рассмотрению руководством кредитной организации, являются:

А) целесообразность организации ДБО как такового в безальтернативных условиях аутсорсинга;

Б) наличие ресурсов в плане организации запасных маршрутов информационного взаимодействия с клиентами.

В любом случае целесообразно четко осознавать, что речь идет о части ИКБД, который формируется при внедрении кредитной организацией любого варианта ДБО и может контролироваться и тем более управляться со стороны кредитной организации заведомо в неполной мере (во всяком случае, в настоящее время). Эта ситуация, кстати, усугубляется недостатками ГК РФ, в котором неполно описаны обязанности и ответственность сторон, вступающих в контрактные отношения, связанные с обеспечением выполнения условий зависимых от них договоров и финансовых обязательств. Из этого следует то, что в интересах учета потенциального влияния новых компонентов банковских рисков технологического и технического характера руководству кредитной организации целесообразно:

1) иметь представление об упомянутой части ИКБД (ее составе и функциональной структуре) и распределенных в ней зонах концентрации таких источников компонентов банковских рисков;

2) осознавать те аспекты отношений со сторонними организациями, которые не охвачены законодательством, но от которых могут непосредственно зависеть результаты ИБ, зависящие от wеb-отношений.

В части wеb-отношений с провайдерами акцент логично изначально делать на обеспечении выполнения ими условий контрактов на обслуживание (соответствие «уровня обслуживания» потребностям клиентов кредитной организации, выраженным в SLА, и ее самой, которые в свою очередь определяются положениями договоров с клиентами на ДБО). При этом целесообразно учитывать и возникновение необходимости резервирования (дублирования) функций, выполняемых провайдерами для кредитной организации (имея в виду широкую трактовку предоставляемых в настоящее время wеb-сервисов), если возникнут проблемы с функционированием их оборудования. Провайдеры далеко не всегда осознают значимость качества предоставляемых ими услуг для кредитных организаций и возможных последствий реализации различных сетевых угроз для их клиентов. Из-за этого нередко качество контрактов, заключаемых с ними кредитными организациями, не выдерживает критики с позиций защиты интересов их клиентов, равно как и содержания договоров с клиентами на ДБО, которые плохо представляют себе структуру ИКБД, через которую взаимодействуют с кредитной организацией. Отсюда следует целесообразность непосредственной связи положений договорных документов кредитной организации с клиентами и содержанием ее контрактов с провайдерами. Задач, не имеющих решения, здесь практически не существует, конечно если руководство кредитной организации учитывает характер и специфику зависимости надежности банковской деятельности от построения отношений с провайдерами. К сожалению, как свидетельствует опыт изучения содержания упомянутых документов, такие связи пока еще не стали повсеместным явлением.

Еще одной стороной рассматриваемой проблематики является возможность возникновения специфических угроз сетевого характера как для самой кредитной организации, так и для ее клиентов, что обусловлено собственно содержанием сетевого взаимодействия в условиях wеb-отношений, формируемых технологией интернет-банкинга. В Письме Банка России № 11-Т от 30 января 2009 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» отмечается (в плане целесообразности), что «…кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDОS — атаки, принятие мер по нейтрализации DDОS-атак и т. п.)…»[184]

В современных условиях функционирования Сети — виртуального пространства, в котором за небольшим исключением функции управления и контроля отсутствуют, взаимодействие кредитной организации с провайдерами, обеспечивающими ее wеb-ресурсами и во многом определяющими выполнение обязательств перед ее клиентами, всегда связано с подверженностью тем или иным сетевым атакам, осуществляемым всякими «деклассированными элементами» в Сети[185]. До настоящего времени уголовная ответственность за сетевые преступления законодательно определена недостаточно и трудно реализуема, отчего кредитным организациям приходится брать на себя решение основных правовых проблем, связанных с недостатками в организации wеb-отношений, которые могут негативно повлиять на выполнение взятых на себя обязательств и которые достаточно обширны — от выполнения условий договоров с клиентами до соблюдения требований, к примеру, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В последние три года количество сетевых атак как на российские кредитные организации, так и на их провайдеров стало быстро расти, следствием чего оказались вполне реальными ситуации «отказов в обслуживании» из-за перегрузки атакуемых серверов (с прерыванием ДБО на достаточно длительные интервалы времени), хищения денежных средств, финансовые потери из-за невыполнения обязательств (и кредитных организаций, и их клиентов, и провайдеров) и т. п. Все это свидетельствует о том, что времена «нормальных» wеb-отношений в российском сегменте Сети прошли, и эти отношения неизбежно усложняются. В первую очередь это усложнение связано с детализацией описания указанных отношений в контрактах на те или иные виды обслуживания, заключаемых кредитными организациями с провайдерами. Подходы упоминавшихся деклассированных элементов к нарушению нормального функционирования вычислительных сетей кредитных организаций хорошо известны и в настоящее время используются преимущественно в традиционных вариантах, также хорошо «освоенных» хакерским сообществом; в других вариантах используются так называемые «ботнеты»[186], «зараженные» программами-червями, — генераторами потоков ложных запросов на обслуживание, инициирующими массированные сетевые атаки.

По-видимому, кредитным организациям целесообразно требовать от своих провайдеров участия в применении защитных мер в части обеспечения полнофункциональности ИКБД, имея в виду все виды зависимостей — начиная с фильтрации трафика и парирования сетевых атак, продолжая антивирусной защитой и заканчивая гарантиями резервирования и оперативного восстановления функционирования в чрезвычайных ситуациях — после отказов или сбоев аппаратно-программного обеспечения (wеb-серверов, почтовых серверов, маршрутизаторов, сетевых экранов) и т. п. Следствием принятия этого подхода может стать удорожание применения кредитной организацией технологий электронного банкинга, но вместе с тем будет повышена его надежность. В современных условиях повышение затрат на обеспечение надежности ДБО (в широком смысле) безусловно оправдано и обосновано, и чтобы оно не сказалось негативно на тарифах, кредитным организациям целесообразно в ходе адаптации своих внутрибанковских процессов позаботиться об их оптимизации, т. е. о компенсации увеличения затрат на повышение эффективности процесса УБР.

В решении вопросов такого рода велика роль высшего руководства кредитной организации, от которого ожидается принятие принципиальных решений по организации взаимоотношений с провайдерами. Как и в других случаях, касающихся ДБО, описание соответствующей позиции, ее обеспечения и ролевых функций персонала отражается в ее внутренних документах.

6.3. Wеb-отношения с контрагентами.

В упоминавшихся выше рекомендациях органов банковского регулирования и надзора США[187] отмечается, что предоставляемые через wеb-сайты, используемые кредитными организациями, функции и возможности должны быть очевидны для посетителей, равно как и источники предлагаемой информации, независимо от того, предоставляются ли они самими организациями или другими сторонами, входящими в ИКБД. Это действительно важно, поскольку практически каждый wеb-сайт содержит так называемые «wеb-связи»[188]. Под такой связью понимается некий объект на wеb-странице (слово, выражение или изображение), связанный с кодовой комбинацией, которая при «щелчке» по нему мышью воспроизводит на дисплее компьютера пользователя («закачивает») другой, в общем случае, программно-информационный компонент wеb-сайта или обращается с запросом на другой wеb-сайт. Wеb-связи представляют собой удобное и общепринятое средство в конструкции wеb-сайта, однако их использование может оказаться связано с отдельными компонентами банковских рисков.

Wеb-связи сайтов, используемых кредитными организациями, нередко ведут на wеb-сайты, которые этими организациями непосредственно не контролируются. Именно «неподконтрольность» wеb-связей может привести к возникновению упомянутых компонентов, тем более если какие-то «последствия» таких связей возникают неожиданно для кредитной организации как следствие злого умысла (к примеру воздействия-атаки хакера). Поэтому руководству кредитных организаций и специалистам прикладного уровня целесообразно иметь представление о таких факторах и источниках компонентов банковских рисков и предпринимать необходимые меры для контроля над контентом wеb-сайтов, которые используются в банковской деятельности.

Считается также, что наиболее значительными дополнительными компонентами характеризуются репутационный и правовой риски. Компоненты репутационного риска могут возникать, если имеют место, например:

Неуверенность клиента в том, кто предоставляет продукты или услуги: конкретная кредитная организация либо связанная третья сторона;

Недовольство клиента качеством продуктов или услуг, фактически получаемых от третьей стороны;

Непонимание клиентом возможностей применения конкретных установленных мер защиты в отношении продуктов или услуг третьей стороны.

Компоненты правового риска возникают в тех случаях, когда связанная третья сторона действует таким образом, который не соответствует требованиям регулирующих органов. Например, они могут возникнуть из-за неправильного предоставления или использования связанной третьей стороной предоставленной ей клиентской информации или когда связь с конкретной третьей стороной обусловливает или влияет на правовые обязательства кредитной организации.

Степень подверженности тем или иным компонентам упомянутых банковских рисков зависит от нескольких факторов, включая характер собственно связи. Любая связь с wеb-сайтом третьей стороны приводит к некоторой подверженности кредитной организации риску, что относится к связям как с аффилированными, так и с неаффилированными третьими сторонами. Связь с wеb-сайтом третьей стороны, который дает клиенту только информацию, обычно не приводит к заметной подверженности риску, если информация эта относительно безобидна, как, например, прогноз погоды. Напротив, если связанная третья сторона предоставляет информацию или рекомендации, относящиеся к финансовому планированию, инвестициям или другим важным темам, то риск может быть больше. Связи с wеb-сайтами, позволяющими клиенту взаимодействовать с третьей стороной, как запрашивающей конфиденциальную информацию от пользователя, так и позволяющей ему приобретать продукт или услугу, может обусловить подверженность кредитной организации относительно большему риску.

6.4. Организация управления wеb-отношениями.

Прежде всего при создании представительств кредитной организации в Сети целесообразно решать общие вопросы распределения обязанностей и ответственности в части ИБ, подконтрольности, подотчетности и т. п., что является прерогативой руководства организации, принимавшего решение о переходе к ДБО в форме ИБ. Необходимо отметить, что при кажущейся простоте этого вопроса количество функций, которые следует правильно определить и распределить между структурными подразделениями кредитной организации, достаточно велико. С учетом ограничений, налагаемых на объем книги, в качестве только лишь основных из них необходимо указать:

1) планирование развития wеb-ресурсов (разного рода) в соответствии со стратегическим и бизнес-планами данной организации;

2) анализ потребностей в ИБ кредитной организации в целом и ее структурных подразделений (информационных, коммуникационных, операционных);

3) организацию проектирования в кредитной организации представительств в Сети и координацию работ, выполняемых ее структурными подразделениями;

4) внесение дополнений в положения о структурных подразделениях, которые будут связаны с интернет-проектами и wеb-отношениями;

5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки[189];

6) подготовку исходных данных на интернет-проекты, технических заданий (ТЗ) на создание wеb-ресурсов и дополнений к ним;

7) управление разработкой wеb-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);

8) выбор провайдеров в части разработки, хостинга, сопровождения wеb-ресурсов кредитной организации и обеспечения их функционирования[190];

9) контроль функциональности wеb-ресурсов и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;

10) изучение состава и содержания возникающих wеb-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;

11) обеспечение резервирования wеb-ресурсов и связанных с ними маршрутов передачи банковских и клиентских данных;

12) определение порядка формирования контента wеb-страниц, включая его согласование, утверждение в кредитной организации и верстку;

13) определение необходимости в каком-либо функциональном наполнении wеb-страниц (активными компонентами), его состава и содержания;

14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;

15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией wеb-ресурсов;

16) модернизацию (редизайн и реинжиниринг) wеb-ресурсов в процессе развития банковского бизнеса через Сеть;

17) сопровождение wеb-ресурсов в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);

18) определение способов и средств замены wеb-ресурсов в случае их отказа (альтернативные каналы взаимодействия с клиентами);

19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);

20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу wеb-ресурсов.

Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:

— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование wеb-ресурсов;

— организация форс-мажорного управления wеb-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);

— принятие решений относительно необходимости дополнительной обработки информации, поступающей через функционал wеb-ресурсов;

— анализ возникающих технических проблем (на всех этапах жизненного цикла wеb-проектов);

— анализ статистики посещаемости wеb-ресурсов для определения путей их развития;

— анализ эффективности функционирования и использования wеb-ресурсов кредитной организации;

— комплексный анализ предложений и замечаний различных пользователей wеb-ресурсов по результатам их эксплуатации;

— модернизация организации создания и исполнения интернет-проектов в кредитной организации (включая взаимодействие ее подразделений);

— обеспечение информационной безопасности wеb-ресурсов и контента, критично важного для кредитной организации и ее клиентов;

— замена скомпрометированных хакерами версий программного обеспечения wеb-ресурсоВ.

Отдевьная дополнительная процедура в оптимальном варианте организации управления wеb-отношениями и их контроля подлежит разработке и внедрению в процесс УБР. Такая процедура включает:

Анализ формируемых wеb-отношений кредитной организации;

Выявление сопутствующих им источников компонентов банковских рисков;

Анализ причин возникновения этих компонентов;

Определение возможных мер подавления влияния таких источников[191];

Оценку ресурсов, необходимых для парирования такого влияния;

Мероприятия по организации дополнительного управления рисками;

Функции по контролю над дополнительным управлением рисками;

Дополнение отчетности для руководства кредитной организации.

В ряде публикаций зарубежных органов банковского регулирования и надзора вопросам управления wеb-представительствами уделяется специальное внимание, поскольку от его качества непосредственно зависят наличие и уровни специфических компонентов репутационного, правового, операционного, а иногда и стратегического банковских рисков (с учетом того, что Интернет фактически уже является «наиболее массовым» средством массовой информации). Эти компоненты в совокупности могут возникать из-за того, к примеру, что:

— приводимая на wеb-страницах банковская информация содержит ошибки (что в российском банковском секторе не редкость)[192];

— функционирование wеb-сайта неудобно для клиентов (как реальных, так и потенциальных);

— wеb-сайты кредитных организаций недостаточно информативны или поиск необходимой клиентам информации затруднен;

— wеb-сайты кредитных организаций недостаточно надежны в функциональном плане;

— используемые кредитными организациями wеb-сайты недостаточно защищены от внешних воздействий[193] и т. п.

Приведенные перечни целесообразно использовать исполнительным органам кредитной организации в ходе циклической реорганизации процесса УБР при ДБО, вводе в эксплуатацию или при лизинге новых wеb-сайтов, используемых в банковской деятельности, новых сервисов, для которых используется технология интернет-банкинга и wеb-порталы и т. п. Все эти мероприятия прямо связаны с адаптацией рассматривавшихся выше внутрибанковских процессов и составляющих их процедур к новым условиям осуществления банковской деятельности, создаваемым технологиями ДБО.

В завершение главы уместно привести цитату из упоминавшейся коллективной работы органов банковского регулирования и надзора США, посвященной анализу факторов риска, сопутствующих wеb-связям[194]: «Управленческий аппарат должен эффективно планировать, реализовать и контролировать wеb-отношения своего финансового учреждения. Под это подпадают ситуации, в которых wеb-сайт данного учреждения создается, оформляется или ведется сторонним провайдером. Имеется несколько методов управления подверженностью финансового учреждения рискам, связанным с наличием wеb-отношений… Методы, используемые для управления конкретными рисками, обусловленными определенной wеb-связью, должны соответствовать уровню риска, свойственному данной связи».

Прежде всего при планировании кредитной организацией использования wеb-отношений необходимо точно определить виды услуг, а также содержание wеb-сайта, доступное его клиентам через wеb-связи. Руководству следует установить, соответствуют ли эти связи общему стратегическому плану учреждения. В число процедур, полезных при планировании wеb-отношений, входит анализ:

— содержания обязательств в отношении третьих сторон, с которыми данная организация собирается устанавливать связи, и их выполнения;

— содержания письменных соглашений с третьими сторонами (в широком смысле: договоров и контрактов);

— потенциальных правовых последствий, обусловленных невыполнением третьей стороной своих обязательств перед кредитной организацией.

Если речь идет об использовании технологии wеb-портала или wеb-сайта сторонней организации, то желательно провести изучение содержания выполнения потенциальных обязательств, чтобы определить, стоит ли ассоциироваться с качеством продуктов, услуг и общим содержанием, предлагаемыми третьей стороной на своих wеb-сайтах. При этом в упомянутых материалах отмечается, что «финансовому учреждению следует более внимательно рассмотреть связанные с продуктами обязательства, если третьи стороны предлагают финансовые продукты, услуги или другое содержание wеb-сайта финансового характера. В этом случае клиенты могут с большей вероятностью предположить, что данным финансовым учреждением изучены и одобрены такие продукты и услуги». В дополнение к изучению финансовой информации третьей стороны и характеристик обслуживания ею своих клиентов желательно рассмотреть дополнительную информацию о ней, оценив соответствие ее деятельности законам и другим нормативным актам, а также не могут ли связанные объявления рассматриваться как вводящая в заблуждение реклама.

Из проведенного краткого рассмотрения ясно, что главная роль в предотвращении большого числа мелких затруднений и неприятностей, связанных с реализацией wеb-отношений, принадлежит корпоративному управлению в кредитной организации. Именно с его помощью объединяются в адаптационном мета-процессе внутрибанковские процессы внедрения ИТ, УБР, ОИБ, ВК, правового и документарного обеспечения банковской деятельности в форме ДБО. Они же в свою очередь должны поддерживаться совокупностями внутрибанковских документов, в которых в том числе раскрывается содержание wеb-отношений и их особенности. К сожалению, реальная ситуация в российском банковском секторе усугубляется тем, что наблюдающаяся до настоящего организация ДБО характеризуется типичными недостатками в описаниях и организации внутрибанковских процессов, из-за чего часто реализуются источники компонентов типичных банковских рисков.

Несмотря на новизну предложенной тематики, рассмотренные в книге вопросы становятся все более актуальными для кредитных организаций российского банковского сектора, в функционировании которого ДБО занимает важное место, а в его рамках — отношения с клиентами и сторонними организациями. Современное банковское дело, немалая доля которого уже принадлежит виртуальному пространству, особенно при осуществлении ее через ресурсы Интернета, требует новых методов как анализа факторов и источников компонентов типичных банковских рисков, так и управления этими рисками.

Перспективы развития электронного банкинга.

Каким бы подробным ни было описание, не может быть никакой уверенности, что в уме слушателя сложится представление, соответствующее истине.

Ч. У. Ледбитер. «Астральный План».

Перспективы дальнейшего развития электронного банкинга в российском банковском секторе можно считать уже определившимися, поскольку они зависят от ряда хорошо известных процессов, в числе которых:

Развитие законодательной базы «электронных финансов»;

Влияние конкурентных условий на рынках финансовых услуг;

Совершенствование банковских информационных технологий;

Ориентация технического прогресса в средствах компьютерной связи;

Демографические изменения (причем не только смена поколений);

Возникновение новых технологических и технических решений;

Глобализация финансовой и банковской деятельности.

Поэтому уже в ближайшее десятилетие в сфере банковского дела и предоставления банковских услуг могут произойти такие изменения, которые нетрудно предположить, в отличие от того, как это было, например, с внедрением, развитием и распространением интернет-технологий и технологий мобильной связи. Одно не подлежит сомнению: взаимодействие кредитных организаций со своими клиентами и клиентов с банками, безусловно, будет ориентироваться на различные варианты ДБО, которое при условии обеспечения его надежности (в смысле выполнения обязательств перед клиентами и контролирующими органами) скорее всего будет быстро вытеснять многие традиционные формы предоставления банковских услуг, так что кредитные организации в большинстве направлений своей деятельности (возможно, подавляющем) станут выполнять функции преимущественно дистанционных финансовых посредников.

Этому активно способствует ряд действующих уже в настоящее время системных факторов, а именно:

Удобство и оперативность получения банковских услуг, обеспечиваемые системами электронного банкинга и предполагающие быстрое расширение клиентской базы ДБО и лавинообразный рост количества клиентских ордеров (операций) в разных его вариантах;

Ориентация кредитных организаций условиями конкуренции на продолжение развития и расширение ДБО, предложение новых видов банковских услуг и внедрение технологий и систем электронного банкинга, поддерживающих их предоставление;

Преимущественное развитие таких технологий электронного банкинга, которые позволяют обеспечить многоканальный и вариативный доступ клиентов ДБО к информационно-процессинговым ресурсам кредитных организаций (с сохранением функциональности);

Предпочтение клиентами таких системам электронного банкинга, которые не ограничивают возможности получения широкого спектра банковских услуг только стационарными точками входа в сетевые структуры (без потери функциональности);

Стремление универсальных кредитных организаций охватывать вариантами ДБО как можно более широкий спектр предлагаемых ими банковских услуг (с учетом ограничений, налагаемых законодательством, регламентирующим банковскую деятельность).

Поэтому с большой вероятностью окажется справедлив следующий слоган: «Не будет банкинга, кроме электронного банкинга, а мобильный банкинг — предел его».

Окончательный выбор систем электронного банкинга, естественно, останется за клиентами кредитных организаций, которые выберут те варианты ДБО, которые окажутся для них наиболее подходящими (с учетом отдаленных районов и регионов с недостаточно развитой инфраструктурой). Предпочтительными, безусловно, окажутся те варианты, которые:

1) будут отличаться очевидными для клиентов преимуществами по сравнению с существующими способами предоставления банковских услуг;

2) заслужат доверие клиентов за счет гарантированного обеспечения целостности и безопасности их данных и проводимых ими операций.

Вместе с тем важно отметить, что кредитным организациям, предоставляющим услуги электронного банкинга, придется, по-видимому, провести переоценку традиционных и разработку новых методов контроля над банковскими рисками и управления ими с учетом новых источников и компонентов информационных контуров банковской деятельности и возникновением новых вариантов проявления рисков, связанных с удаленным предоставлением банковских услуг. В общем случае предполагается, что потребуется внедрение интегрированного подхода к управлению рисками для всех банковских операций кредитной организации. До тех пор, пока не будут приняты стандарты надежного информационного обмена при ДБО, кредитным организациям придется самостоятельно определять и внедрять способы и средства обеспечения целостности и безопасности принимаемых и передаваемых данных. Поэтому для обеспечения эффективности УБР и управления банковской деятельностью в целом целесообразна, как минимум, разработка адекватной политики управления проектами внедрения новых банковских информационных технологий, жизненными циклами банковских автоматизированных систем и систем электронного банкинга, контроля над их эксплуатацией и модернизацией (включая ИКБД), а также обеспечением гарантий высокого качества ДБО клиентов, причем с учетом индивидуальных для каждой кредитной организации особенностей архитектур и состава ее распределенных компьютерных систем, локальных и зональных сетей связи и т. п.

Ввиду того что новые банковские информационные технологии значительно меняют бизнес-модели и функциональные процессы кредитных организаций, от последних потребуется адаптационное изменение практических подходов к корпоративному управлению и воплощению его основных принципов в свою деятельность с учетом особенностей конкретных технологий и систем электронного банкинга. Наряду с этим потребуются также разработка и внедрение принципиально усовершенствованных процедур контроля над их применением, позволяющих «проникать» в киберпространство банковской деятельности в интересах обеспечения и сохранения ее управляемости, — это новая серьезная задача.

Влияние технологий электронного банкинга на состояние и функционирование банковского сектора несомненно, и оно будет усиливаться вплоть до, возможно, изменения конкурентных условий на рынках предоставления финансовых услуг, а следовательно, содержания банковской деятельности и самого банковского сектора. Не исключено, что смещение акцентов в применении технологий электронного банкинга именно в сторону мобильного ДБО, о чем косвенно свидетельствуют результаты исследований, проводимых как за рубежом, так и в России, произойдет уже в ближайшем времени. На изменения такого рода неизбежно придется обратить внимание и кредитным организациям, и законодательным органам, а значит, в регулировании и условиях (в широком смысле) банковской деятельности могут произойти серьезные изменения. В выигрыше окажутся те высокотехнологичные кредитные организации, которые смогут их предвидеть.

Поскольку в современном мире технологическое и техническое оснащение деятельности кредитных организаций стало практически непрерывным процессом, рассмотреть все его аспекты с риск-ориентированных позиций невозможно. Ситуация осложняется тем, что структура типичных банковских рисков существенно усложняется, так что очень многие технические решения требуют весьма углубленного анализа таких структур с привлечением зачастую узко специальных знаний о тех или иных особенностях и условиях, настройках и контроле функционирования средств вычислительной техники. Тем самым существенно расширяются и усложняются требования к квалификации персонала кредитных организаций, переходящих к ДБО, причем на всех уровнях управленческой и исполнительской иерархии. Как бы то ни было, автор надеется, что изложенные в настоящей книге подходы к организации внутрибанковских процессов в условиях применения технологий и систем электронного банкинга смогут в какой-то мере содействовать кредитным организациям в формировании пруденциальных условий для его использования, которые гарантировали бы адекватный контроль над уровнями банковских рисков и высокую надежность банковской деятельности в целом, а значит, и надежную защиту интересов клиентов ДБО.

Литература.

1. Соdеrrе D. Intеrnаl Аudit. Еffiсiеnсу thrоugh аutоmаtiоn. Jоhn Wilеу&Sоns Inс., Ноbокеn, NJ, USА, 2009.

2. Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing. Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, Ваnк fоr Intеrnаtiоnаl Sеttlеmеnts, Ваsеl, Julу 2003.

3. Intеrnеt-Ваnкing. Соmрtrоllеr’s Наndbоок. I–IВ. Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, USА, Осtоbеr 1999.

4. Е-Ваnкing. Fеdеrаl Finаnсiаl Institutiоns Ехаminаtiоn Соunсil, Wаshingtоn, DС, USА, Аugust 2003.

5. WЕВLINКING: Idеntifуing Risкs аnd Risк Маnаgеmеnt Тесhniquеs. Intеrаgеnсу Guidаnсе. Fеdеrаl Dероsit Insurаnсе Соrроrаtiоn, Nаtiоnаl Сrеdit Uniоn Аdministrаtiоn, Оffiсе оf Тhrift Suреrvisiоn, Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, Арril 23, 2003.

6. Guiding Рrinсiрlеs in Risк Маnаgеmеnt fоr U.S. Соmmеrсiаl Ваnкs. Тhе Finаnсiаl Sеrviсеs Rоundtаblе, А Rероrt оf thе Subсоmmittее аnd Wоrкing Grоuр оn Risк Маnаgеmеnt Рrinсiрlеs; Wаshingtоn, DС, USА, Junе 1999.

7. Rоbеrtsоn R.М. Тhе Соmрtrоllеr аnd Ваnк Suреrvisiоn. ОСС, Wаshingtоn, DС, USА, 1995.

8. Lаrgе Ваnк Suреrvisiоn. Соmрtrоllеr’s Наndbоок. ЕР-LВ. Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, USА, Мау 2001.

9. Соmmunitу Ваnк Suреrvisiоn. Соmрtrоllеr’s Наndbоок. ЕР-СВS. Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, USА, Julу 2003.

10. Сrumе J., Insidе Intеrnеt Sесuritу. Аddisоn-Wеslеу, Реаrsоn Еduсаtiоn Ltd., 2000.

11. Dаvis С., Sсhillеr М., Whееlеr К. IТ Аuditing: Using Соntrоls tо Рrоtесt Infоrmаtiоn Аssеts. МсGrаw Нill Соmраniеs, USА, 2007.

Примечания.

1.

Соdеrrе D. Intеrnаl Аudit. Еffiсiеnсу thrоugh аutоmаtiоn. Jоhn Wilеу&Sоns Inс., Ноbокеn, NJ, USА, 2009.

2.

Сводная информация приведена в пресс-релизе Банка России, размещенном на его официальном wеb-сайте по адресу httр://www.сbr.ru/рrеss/Аrсliivе_gеt_blоb.аsр7dос_ id=090313_1311401.htm.

3.

РDА = Реrsоnаl Digitаl Аssistаnt — тип сверхлегкого миниатюрного персонального компьютера.

4.

WАР = Wirеlеss Аррliсаtiоn Рrоtосоl — протокол беспроводного взаимодействия, служит для обеспечения беспроводного доступа к сервисам Интернет с помощью мобильного телефона. SМS = Shоrt Меssаgе Sеtуiсе — служба коротких сообщений, позволяющая пользователям мобильных телефонов осуществлять двусторонний обмен текстовыми сообщениями между собой, а также с информационными системами разного назначения. GSМ = Glоbаl Sуstеm fоr Моbilе соmmuniсаtiоns — глобальная система мобильной связи. GРRS = Gеnеrаl Раскеt dаtа Rаdiо Sеtуiсе — общая служба радиопередачи пакетированных данных, предназначенная для осуществления экономичного обмена данными с помощью мобильного телефона, включая обеспечение WАР-доступа к Интернету. Wi-Fi = Wirеlеss Fidеlitу — обозначение некоторых типов беспроводных локальных вычислительных сетей (Wirеlеss Lосаl Аi'еа Nеtwоrк — WLАN), в которых используются спецификации протокола семейства 802.11. РОS = Роint-Оf-Sаlе — пункт продаж, место продавца (кассира). РОS-терминал — устройство, предназначенное для дистанционного проведения расчетов за покупки в торговых предприятиях с использованием банковских пластиковых карт.

5.

Любые технологии электронного банкинга реализуются распределенными автоматизированными компьютерными системами, относящимися к системам «Банк — Клиент»; тем не менее для удобства классификации в главе 1 будет рассмотрена соответствующая обобщенная схема деления этих технологий, используемая в интересах банковского надзора, в частности. Банком Германии («Дойчебундесбанком»).

6.

Использована формулировка из Указания оперативного характера Банка России от 23 апреля 2004 г. № 70-Т «О типичных банковских рисках».

7.

Общепринятый термин в материалах зарубежных органов банковского регулирования и надзора.

8.

Системы электронного банкинга такого рода в зависимости от их сложности, архитектуры, многоканальное™ и т. п. характеристик могут стоить от тысяч до миллионов условных единиц. Учет этого фактора с позиций риск-ориентированного подхода важен с точки зрения оценки потенциального стратегического риска.

9.

По материалам семинара по надзору в области электронного банкинга, проведенного «Дойчебундесбанком» для специалистов Банка России в 2002 г. Приведенная схема используется в надзорных целях до настоящего времени.

10.

Соdеrrе D. Intеrnаl Аudit. Еffiсiеnсу thrоugh аutоmаtiоn. Jоhn Wilеу & Sоns Inс., Ноbокеn, NJ, USА, 2009.

11.

См., например. Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing. Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, Ваnк fоr Intеrnаtiоnаl Sеttlеmеnts, Ваsеl, Julу 2003; Intеrnеt-Ваnкing. Соmрtrоllеr’s Наndbоок. I–IВ. Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, USА, Осtоbеr 1999; Е-Ваnкing. Fеdеrаl Finаnсiаl Institutiоns Ехаminаtiоn Соunсil, Wаshingtоn, DС, USА, Аugust 2003.

12.

Пруденциальный (англ. рrudеntiаl от лат. рrudеns) — разумный, осторожный, отказывающийся от риска.

13.

Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54.

14.

Письма Банка России от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании»; от 30 января 2009 г. № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» и др.

15.

Статья 160 ГК РФ.

16.

См., например, такие документы, как Положение Банка России от 19 августа.

2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; письма Банка России от 13 июля.

2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; от 30 августа.

2006 г. № 115-Т «Об исполнении Федерального закона „О противодействии легализации (отмыванию) доходов, полученных преступным путем…“ в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 5 апреля 2007 г. № 44-Т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)».

17.

Понятие «ордер клиента» введено и определено в Письме Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».

18.

В этой книге понятие аутсорсинга интерпретируется в наиболее широком смысле, а не в традиционном понимании, как передача кредитной организацией сторонней организации выполнения каких-либо функций, которые она могла бы выполнять сама, но ей самой невыгодно это делать по соображениям, например, финансового плана. Тем самым, по мнению автора, обеспечивается наиболее полный охват вариантов зависимости банковской деятельности от сторонних организаций, которые подлежат учету в управлении рисками банковской деятельности.

19.

WЕВLINКING: Idеntifуing Risкs аnd Risк Маnаgеmеnt Тесhniquеs. Intеrаgеnсу Guidаnсе. Fеdеrаl Dероsit Insurаnсе Соrроrаtiоn, Nаtiоnаl Сrеdit Uniоn Аdministrаtiоn, Оffiсе оf Тhrift Suреrvisiоn, Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, Арril 23, 2003.

20.

Intеrnеt-Ваnкing. Соmрtrоllеr’s Наndbоок. I–IВ.

21.

Соdеrrе D. Intеrnаl Аudit. Еffiсiеnсу thrоugh аutоmаtiоn.

22.

Guiding Рrinсiрlеs in Risк Маnаgеmеnt fоr U.S. Соmmеrсiаl Ваnкs. Тhе Finаnсiаl Sеrviсеs Rоundtаblе, А Rероrt оf thе Subсоmmittее аnd Wоrкing Grоuр оn Risк Маnаgеmеnt Рrinсiрlеs; Wаshingtоn, DС, USА, Junе 1999.

23.

Автор располагает материалами таких учреждений только из США, Канады, Западной Европы и Великобритании, а также Сингапура и Южной Кореи, однако это не умаляет общности рассмотрения.

24.

Например, Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

25.

Цитируются материалы семинара, проводившегося для специалистов Банка России в 2004 г.

26.

Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу — ОСС, в составе которого служба банковского инспектирования была создана еще в 1863 г., а в 1874 г. — банковский надзор, этой истории посвящена книга Rоbеrtsоn R.М. Тhе Соmрtrоllеr аnd Ваnк Suреrvisiоn. ОСС, Wаshingtоn, DС, USА, 1995.

27.

В терминологии документов ОСС.

28.

Lаrgе Ваnк Suреrvisiоn. Соmрtrоllеr’s Наndbоок. ЕР-LВ. Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, USА, Мау 2001.

29.

Guiding Рrinсiрlеs in Risк Маnаgеmеnt fоr U.S. Соmmеrсiаl Ваnкs. Junе 1999.

30.

По аналогии с принципами «Знай своего клиента» и «Знай своего работника», которые часто фигурируют в литературе в связи с исследованиями банковских рисков.

31.

Это тем более справедливо в ситуациях территориального разнесения официально зарегистрированной кредитной организации или ее филиала и процессингового центра, а также в условиях так называемого «оффшоринга» — трансграничного аутсорсинга процессинга.

-’ Эти понятия подробно поясняются ниже.

32.

Эти понятия подробно поясняются ниже.

33.

Lаrgе Ваnк Suреrvisiоn.

34.

Имея в виду интерпретацию банковского сектора страны как некой системы, состоящей из взаимодействующих кредитных организаций, их клиентов и контрагентов, функции которых известны и унифицированы за счет регламентации, которая, впрочем, охватывает лишь часть банковской деятельности.

35.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

36.

В качестве примера можно привести принятый еще в 1962 г. Федеральный закон США «О компаниях, обслуживающих банки», в котором речь идет о контроле над провайдерами кредитных организаций.

37.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

38.

Virtuаl Рrivаtе Nеtwоrк — VРN.

39.

Как ни странно, в обширной литературе, посвященной банковским рискам, автору не удалось найти упоминания весьма важного акцента, значительно отличающего практическую интерпретацию понятия ликвидности в новых, высокотехнологичных условиях банковской деятельности от традиционно принятой.

40.

Intеrnеt-Ваnкing. Соmрtrоllеr’s Наndbоок.

41.

Здесь и далее в квадратных скобках приводятся слова, поясняющие контекст, поскольку полные переводные выдержки из текста документа, которые содержат необходимые в каждом случае пояснения, заняли бы слишком много места.

42.

В зарубежной терминологии — Еlесtrоniс Funds Тrаnsfеr.

43.

Как это определено в Письме Банка России от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».

44.

Маnаgеmеnt аnd Suреrvisiоn оf Сrоss-Воrdеr Еlесtrоniс Ваnкing Асtivitiеs. Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, ВIS, Ваsеl, Julу 2003.

45.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

46.

Наиболее «популярный» в последние годы вид сетевых атак — Distributеd Dеniаl оf Sеrviсе (DDоS), представляющий расширенный вариант DоS-атаки за счет задействования компьютеров, находящихся в сетевых структурах сторонних организаций за счет «заражения» их специальными вирусами-червями (см. ниже).

47.

Dесisiоn Suрроrt Sуstеm/Маnаgеmеnt Infоrmаtiоn Sуstеm.

48.

Интерпретируемой как свойство сохранять значения установленных параметров функционирования в определенных пределах, соответствующих заданным режимам и условиям в течение установленного времени.

49.

Это касается и практики так называемых «заплаток» (раtсhеs) для программного обеспечения.

50.

Это понятие определено Банком России в упоминавшемся ранее Письме № 36-Т.

51.

Приведенное разделение несколько условно, оно основано на различиях в моделях соответствующих угроз для БАС кредитной организации.

52.

Сrumе J. Insidе Intеrnеt Sесuritу. Аddisоn-Wеslеу, Реаrsоn Еduсаtiоn Ltd., 2000.

53.

От термина Раскеt Intеrnеt Grореr.

54.

Комбинация из английских слов rоbоt и nеt.

55.

Под этим понимается осуществление двойного параллельного независимого контроля (в том числе при принятии «ответственных» решений, т. е. значимых для финансового состояния кредитной организации).

56.

Лямин JI.В. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в кредитной организации. 2008. № 2. С. 20–31.

57.

Guiding Рrinсiрlеs in Risк Маnаgеmеnt fоr U.S. Соmmеrсiаl Ваnкs.

58.

Lаrgе Ваnк Suреrvisiоn; Соmmunitу Ваnк Suреrvisiоn. Соmрtrоllеr’s Наndbоок. ЕР-СВS. Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, USА, Julу 2003.

59.

Лямин JI.В. Принципы риск-ориентированного банковского контроля в области интернет-банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49. Описанный подход справедлив для технологий электронного банкинга в целом.

60.

Например, в случае открытия банковского счета, оформления кредита, кассового обслуживания и др.

61.

Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С, 37–54.

62.

Это видно в первую очередь по данным, приводимым в формах банковской отчетности 0409070 «Сведения об использовании кредитной организацией интернет-технологий» и 0409251 «Сведения о счетах клиентов и платежах, проведенных через кредитную организацию (ее филиал)».

63.

По аналогии с упоминавшейся выше трактовкой понятия «надежность» устойчивость в традиционном понимании интерпретируется как способность восстанавливать свое состояние (режим) после какого-либо возмущения, проявляющегося в отклонениях значений параметров режима от исходных (начальных) значений (или от штатного функционирования).

64.

Это определение приведено в стандарте ISО 9001:2000.

65.

Соntrоl Оbjесtivеs fоr Infоrmаtiоn аnd rеlаtеd Тесhnоlоgу (руководство, разработанное Институтом управления информационными технологиями — IТGI (США), отражающее, как заявлено в материале, «хорошую практику управления информационными технологиями»).

66.

Или, иначе, «совершенства» процессов — более подходящий перевод английского слова mаturitу, которое в русскоязычной литературе чаще переводится как «зрелость» в отношении процессов, что соответствует первому буквальному значению этого слова, но не слишком удачно как их характеристика.

67.

См.: Лямин Л.В. Универсальная Рейтинговая Система для Информационных Технологий, применяемая органами банковского надзора США // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 5. С. 113–120; № 6. С. 114–124.

68.

По аналогии с рейтинговыми оценками в Lаrgе Ваnк Suреrvisiоn и Соmmunitу Ваnк Suреrvisiоn.

69.

См.: Лямин Л.В. Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора // Управление в коммерческом банке. 2006. № 6. С, 83–94; 2007; № 1. С. 57–68; № 2. С. 66–74; № 3. С. 53–70.

70.

В зарубежной терминологии — nоn-rерudiаtiоn, т. е. исключение ситуации, когда клиент предъявляет кредитной организации претензию относительно того, что не давал ордера, допустим, на перевод средств со счета, а эта организация предъявляет ему как бы его ордер и наоборот, когда клиент утверждает, что организация не выполнила его ордер, а та уверяет его в том, что такого ордера не поступало и т. п.

71.

Тому есть немало подтверждений, связанных в основном с содержанием договоров на ДБО и тех или иных приложений к ним в сопоставлении с текстами контрактов, в которых положения о требуемом уровне обслуживания с содержанием этих договоров никак не коррелируют.

72.

См., например: Маnаgеmеnt аnd Suреrvisiоn оf Сrоss-Воrdеr Еlесtrоniс Ваnкing Асtivitiеs.

73.

В 2009 году и первой половине 2010 г. возможные изменения этого закона интенсивно обсуждались в Государственной Думе, и судьба этих изменений пока полностью не ясна.

74.

Sеtуiсе Lеvеl Аgrееmеnt (SLА).

75.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

76.

Имеется в виду оптимальный вариант обеспечения совокупной необходимой квалификации при анализе предметной области и принятии решений относительно внедрения варианта ДБО.

77.

По данным отчетности кредитных организаций, представляемой в Банк России в соответствии с формой 0409070, российскими кредитными организациями используется порядка 100 разновидностей систем только интернет-банкинга, половина из которых разработана различными компаниями и еще примерно столько же оригинальных разработок выполнены самими кредитными организациями.

78.

Речь идет, разумеется, не о названии внутрибанковских документов, а об их содержа-

79.

В этом случае понятие аутсорсинга используется в «максимально широкой» его трактовке, с учетом «множественности» вариантов образования внешней зависимости банковской деятельности кредитной организации в ИКБД.

80.

Имеются в виду варианты предварительного «внутреннего» тестирования автоматизированной системы подразделением ИТ, апробации ее небольшим количеством операторов на тестовых и отдельных практических примерах и передачи ее в опытную эксплуатацию, после чего принимается решение о проведении ПСИ для передачи системы в постоянную эксплуатацию.

81.

В устоявшейся терминологии зарубежных органов банковского регулирования и надзора под провайдерами обычно понимаются продавцы услуг (доступа в Интернет, каналов связи и пр.), а под вендорами — продавцы товаров (программного обеспечения, автоматизированных систем и т. п.). На самом деле такое разделение не существенно и используется только для удобства квалификации возникающих зависимостей кредитной организации от сторонних организаций и, соответственно, структурных компонентов типичных банковских рисков.

82.

Dаtа Flоw Diаgrаm (D FD).

83.

Univеrsаl Rаting Sуstеm fоr Infоrmаtiоn Тесhnоlоgiеs. Fеdеrаl Rеgistеr. V. 64, № 12, 1999. Эта система разработана Федеральным советом по проверкам финансовых учреждений (Fеdеrаl Finаnсiаl Institutiоns Ехаminаtiоn Соunсil — FFIЕС), который является своего рода общим методическим органом для учреждений США, выполняющих регулятивнонадзорные функции в банковском секторе. В описании этой системы указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании информационных технологий и выявления тех учреждений и провайдеров услуг, в отношении которых необходимо особое внимание со стороны надзора». Разработками этой организации пользуются и коммерческие банки и другие финансовые учреждения в США.

84.

Rоbеrtsоn R.М. Тhе Соmрtrоllеr аnd Ваnк Suреrvisiоn.

85.

Эта проблематика анализировалась в статье: Лямин Л.В. Концептуальные вопросы управления аутсорсингом в условиях применения технологий электронного банкинга // Управление в коммерческом банке. 2007. № 5. С. 109–118; 2008. № 1. С. 80–102.

86.

Например, распределение функций администрирования автоматизированных систем и вычислительных сетей и контроля реализации этого распределения (обязанностей, ответственности, прав и полномочий, порядков и должностных инструкций), проведения проверок службой внутреннего контроля и службой обеспечения информационной безопасности и т. п.

87.

В качестве одного из наиболее очевидных примеров можно привести определение требований к настройке брандмауэров (сетевых экранов) кредитной организации, которые являются основными средствами защиты ее вычислительных сетей. В этом случае необходима разработка корпоративной политики такой защиты (в том числе допустимых для использования сетевых протоколов, ограничений на доступное внешнее и внутреннее адресное пространство и т. п.), доведение ее до технических исполнителей и проверка соответствия выполненных настроек установленным требованиям специалистами подразделения ИТ, обеспечение информационной безопасности и внутреннего контроля, которые при их проведении должны руководствоваться соответствующими положениями о подразделениях и должностными инструкциями.

88.

Еще одним простым примером может являться формирование механизма доведения до менеджеров разных уровней информации о сетевых и вирусных атаках, случаях НСД, отказах серверного оборудования разного назначения и т. п. Известно, что если проблема не «докладывается», то она повторяется, причем в кредитных организациях это может продолжаться до тех пор, пока сокрытие негативной информации не приведет к весьма серьезным финансовым потерям их самих или их клиентов (чему немало примеров из российской и зарубежной банковской деятельности). Чтобы создать такие «механизмы» и контролировать их функционирование (допустим, через анализ содержания тех же системных логов и аудиторских трейлов), также необходима специальная квалификация.

89.

Совершенствование корпоративного управления в кредитных организациях // Вестник Банка России. 2001. № 46. 25 июля.

90.

Httр://www.оесd.оrg/dаtаоесd/57/18/32159669.рdf.

91.

Лямин Л.В. Корпоративное управление в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2008. № 3. С. 78–89; № 4. С, 70–83; № 5. С. 68–83.

92.

Еnhаnсing соrроrаtе gоvеrnаnсе fоr bаnкing оrgаnisаtiоns. Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, Ваnк fоr Intеrnаtiоnаl Sеttlеmеnts, Ваsеl, Fеbruаrу 2006.

93.

Здесь под распространением риска имеется в виду то, что реализация какого-то фактора или проявление источника риска может оказать влияние на выполнение различных процедур, входящих в состав внутрибанковских процессов. Особенно это касается ситуаций, в которых возможно нарушение целостности банковских или клиентских данных.

94.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

95.

В число которых, как поясняется в документе, «входят надзор, правительство и вкладчики ввиду уникальной роли банков в национальной и локальной экономиках и финансовых системах, а также ассоциируемыми с ними явными и неявными гарантиями депозитов».

96.

Fеdеrаl Dероsit Insurаnсе Соrроrаtiоn (FDIС).

97.

Учитывать следует как внешние, так и внутренние угрозы, которые могут инициироваться в различных информационных сечениях как между системой ДБО и БАС, так и самой БАС.

98.

Письмо Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», которое требует, вообще говоря, практической интерпретации в каждом индивидуальном случае применения электронного банкинга.

99.

Как поясняется, предупредительному, ориентированному на создание необходимых условий для эффективного внедрения и поддержания, и это справедливо, однако отсутствие указаний на связь с жизненными циклами банковских информационных технологий и внутрибанковских процессов, что, казалось бы, в современном банковском деле «лежит на поверхности», исключает и необходимый акцент на них.

100.

В оригинале — Sоund соrроrаtе gоvеrnаnсе рrinсiрlеs.

101.

Факторы и источники компонентов банковских рисков, условия проявления и степень их влияния и т. п.

102.

От англоязычного понятия АТМ — Аutоmаtiс Теllеr Масhinе.

103.

По результатам разных исследований, проводившихся, например, в США совместно Федеральным бюро расследований и научно-техническими организациями, инсайдеры инициируют от 60 до 80 % противоправных действий — в зависимости от вида опрошенных учреждений и компаний.

104.

Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52.

105.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

106.

В соответствии с Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», хотя тематика ФМ в кредитных организациях должна трактоваться существенно шире (см. параграф 5.6).

107.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

108.

Как будет показано ниже, понятие «безопасность» трактуется БКБН в широком смысле, включая, например, осуществление ФМ, на чем акцент в данном материале не сделан.

109.

В дополнение к требованиям, касающимся внутренней отчетности, расширенные процедуры предоставления отчетности о происшествиях должны включать также подготовку необходимых отчетов для соответствующих надзорных органов.

110.

Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно.

111.

Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения.

112.

Включая сотрудников, работников по контракту и тех, кто обладает правами доступа на основе контрагентских отношений.

113.

Включая меры по мониторингу сетевой активности, фиксации попыток проникновения и сведения о серьезных недостатках в обеспечении безопасности.

114.

Мистификация (sрооfing) — это имитация легитимного клиента за счет использования его/ее номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты.

115.

«Вынюхиватель» (sniffеr) — это устройство, которое способно просматривать поток данных, передаваемых по каналу связи, перехватывать пароли и данные при их передаче, из-за чего в итоге похищается конфиденциальная информация и совершаются мошенничества (с точки зрения ОИБ — происходит ее утечка).

116.

В системах должно быть предусмотрено определение того, что они работают с аутентифицированным лицом, агентом или системой и с действительной базой данных аутентификации.

117.

Кредитная организация может выдавать цифровые сертификаты, чтобы обеспечить безопасность связи, см. ниже комментарий к Принципу 5.

118.

Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиорических (поведенческих) характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаз, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации.

-’ Источниками аутентификационных данных могут быть электронные средства.

119.

Источниками аутентификационных данных могут быть электронные средства.

120.

В качестве примера можно привести две ситуации, в которых клиент рискует возникновением взаимного «непонимания» с кредитной организацией: неправильный ввод суммы в платежном поручении (500 ООО вместо 50 ООО, — «залипла» клавиша, был выпивши…) или проведение сеанса из интернет-кафе (кредитным организациям целесообразно официально — в договорах — предупреждать клиентов ДБО о нежелательности таких сеансов).

121.

Либо должны присутствовать альтернативные компенсирующие средства контроля.

122.

Кредитным организациям следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, что возможно их восстановление после нарушения целостности.

123.

Например, банк может при желании указать те страны, в которых он намеревается предоставлять обслуживание в рамках электронного банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.

124.

Письмо Банка России от 23 октября 2009 г. № 128-Т «О Рекомендациях по информационному содержанию и организации wеb-сайтов кредитных организаций в сети Интернет».

125.

Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе.

126.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

127.

Их можно было бы назвать руководствами, поскольку в их преамбулах используется понятие «guidаnсе», но они имеют рекомендательный характер.

128.

Risк Аssеssmеnt Sуstеm (RАS).

129.

Перевод наименований уровней унифицирован в соответствии с таблицей агрегированного риска на рис. 5.

130.

Дополнительную информацию по этой тематике и ссылки можно найти в статье: Лямин Л.В. Принципы риск-ориентированного банковского контроля // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49.

131.

В оригинале «Quаntitу оf trаnsасtiоn risк indiсаtоrs».

132.

Соmmunitу Ваnк Suреrvisiоn. Соmрtrоllеr’s Наndbоок. ЕР-СВS.

133.

Подробную информацию о таких выводах можно найти также в работе Lаrgе Ваnк Suреrvisiоn. Соmрtrоllеr’s Наndbоок. ЕР-LВ. Оffiсе оf thе Соmрtrоllеr оf thе Сurrеnсу, Wаshingtоn, DС, USА, Мау 2001. Общее представление о том, какого рода выводы предусмотрены в рейтинговых системах, используемых в банковском сообществе США, можно получить из краткого описания URSIТ, приведенного ниже, в параграфе 5.3.

134.

Сетевой протокол — это набор правил формирования пакетов данных и управления их передачей.

135.

Цит. по: Запретная история / под ред. Д. Кэннона. М.: АСТ, 2009.

136.

Сtvmе. J. Insidе Intеrnеt Sесuritу. Аddisоn Wеslеу, Реаrsоn Еduсаtiоn Ltd., 2000.

137.

В зарубежных материалах органов банковского регулирования и надзора различие между ними проводится на основе того, что продает компания: товары или услуги.

138.

Intrusiоn Рrеvеntiоn Sуstеm (IРS) и Intrusiоn Dеtесtiоn Sуstеm (IDS).

139.

Fеdеrаl Finаnсiаl Institutiоns Ехаminаtiоn Соunсil (FFIЕС).

140.

УРСИТ используется также Управлением по надзору за сберегательными учреждениями (ОТS).

141.

В оригинале использован термин «качественное суммирование» — quаlitаtivе summаrizаtiоn.

142.

Библия. Экклезиаст (1:11).

143.

Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях//Управление в коммерческом банке. 2006. № 1. С. 107–116; № 2. С, 118–126; № 3. С. 113–126; № 4. С, 111–126; № 5. С. 111–120.

144.

Раtсh Маnаgеmеnt Роliсу.

145.

Сtvmе J. Insidе Intеrnеt Sесuritу; Dаvis С., Sсhillеr М., Whееlеr К. IТ Аuditing: Using Соntrоls tо Рrоtесt Infоrmаtiоn Аssеts. МсGrаw Нill Соmраniеs, USА, 2007.

146.

Ореn Sуstеm Intеrсоnnесtiоn (ОSI).

147.

Wаск Сutlеr К., Роlе J. Guidеlinеs оn Firеwаlls аnd Firеwаll Роliсу. Nаtiоnаl Institutе оf Stаndаrds аnd Тесhnоlоgу. Sресiаl Рubliсаtiоn 800-41, Gаithеrsburg, МD, USА, Jаnuаrу 2002.

148.

Тrаnsmissiоn Соntrоl Рrоtосоl / Intеrnеt Рrоtосоl (протокол управления передачей / межсетевой протокол).

149.

Детали модели ОSI здесь не рассматриваются: их описание можно найти во многих книгах и в так называемой «википедии» в Сети.

150.

Меdiа Ассеss Соntrоl (МАС) — управление доступом к среде (взаимодействия), такиеданные идентифицируют конкретные компоненты компьютерного оборудования.

151.

В зарубежной терминологии — реnеtrаtiоn tеsting.

152.

Терминология, используемая в зарубежных материалах по обеспечению информационной безопасности по аналогии со «следами», «отпечатками пальцев» и т. п.

153.

В США существует специфическая форма банковской отчетности, называемая «Отчет.

О подозрительной деятельности» (Susрiсiоus Асtivitу Rероrt — SАR), которая может быть использована как аналог.

154.

12 СFR (Соdе оf Fеdеrаl Rеgulаtiоns), Рt. 30 — SАFЕТY & SОUNDNЕSS SТАNDАRDS (пункты Е и F). Под «Программой обеспечения информационной безопасности» имеется в виду «Политика информационной безопасности».

155.

Grаnmi-Lеасh-Вlilеу Асt (GLВА) и Sаrbаnеs-Охlеу (SОХ) Асt 2002; Dаvis С., Sсhillеr М., Whееlеr К. IТ Аuditing: Using Соntrоls tо Рrоtесt Infоrmаtiоn Аssеts.

156.

В отличие от, например, упоминавшейся ранее ситуации в США.

157.

Лямин Л.В. Оптимизация принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 3. С. 109–120.

158.

Risк Маnаgеmеnt Рrinсiрlеs fоr Еlесtrоniс Ваnкing.

159.

Frаmеwоrк fоr Intеrnаl Соntrоl Sуstеms in Ваnкing Оrgаnisаtiоns. Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, Ваsеl, Ваnк fоr Intеrnаtiоnаl Sеttlеmеnts, Sерtеmbеr 1998.

160.

Lаrgе Ваnк Suреrvisiоn. Соmрtrоllеr’s Наndbоок. ЕР-LВ.

161.

Лямин Л.В. Пруденциальная организация и жизненный цикл внутреннего контроля в условиях электронного банкинга // Внутренний контроль. 2009. № 1. С. 82–92; № 2. С. 64–75; № 3. С, 90-100.

162.

Это понятие введено без комментариев, вследствие чего не совсем ясно, имеет оно частный (интуитивно понятный) или общий характер, в последнем случае для каждой ТЭБ целесообразно проведение специального анализа подмножества источников компонентов банковских рисков.

163.

Тhе Institutе оf Intеrnаl Аuditоrs, www.thеiiа.оrg. В России его представляет организация с аналогичным названием (НП «ИВА»), www.iiа-ru.ru.

164.

Infоrmаtiоn Sуstеms Аudit аnd Соntrоl Аssосiаtiоn (ISАСА), www.isасs.оrg. Имеется отделение в России, www.isаса-russiа.оrg.

165.

В зарубежной терминологии — vulnеrаbilitу аssеssmеnt.

166.

Сеrtifiеd Infоrmаtiоn Sуstеms Аuditоr и Сеrtifiеd Infоrmаtiоn Sуstеms Маnаgеr.

-’ Соdеirе D. Intеrnаl Аudit; Dаvis С., Sсhillеr М., Whееlеr К. IТ Аuditing: Using Соntrоls tо Рrоtесt Infоrmаtiоn Аssеts.

167.

Эта работа продолжается постоянно, и одним из последних таких документов стало руководство БКБН, в котором содержится описание мер, которые следует принимать кредитным организациям — посредникам в проведении банковских операций, чтобы не оказаться вовлеченными в противоправную деятельность: Duе diligеnсе аnd trаnsраrеnсу rеgаrding соvеr рауmеnt mеssаgеs rеlаtеd tо сrоss-bоrdеr wirе trаnsfеrs/ Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, Ваnк fоr Intеrnаtiоnаl Sеttlеmеnts, Мау 2009.

168.

В зарубежной терминологии — раttеrn.

169.

Например, письма Банка России от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)», от 13 марта 2008 г. № 24-Т «О повышении эффективности работы по предотвращению сомнительных операций», от 3 сентября 2008 г. № 111-Т «О повышении эффективности работы по предотвращению сомнительных операций клиентов кредитных организаций» и др.

170.

Ваnк fоr Intеrnаtiоnаl Sеttlеmеnts, Осtоbеr 2004 (в дополнение к рекомендациям Сustоmеr duе diligеnсе fоr bаnкs, выпущенным в октябре 2001 г.).

171.

Соnsоlidаtеd КYС Risк Маnаgеmеnt. Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, Ваsеl,

172.

Определение этого риска БКБН не приводит, но из контекста можно сделать вывод, что этот риск образуется в том случае, если банк не отслеживает операции клиента в комплексе (проводимые через разные филиалы одним клиентом или в интересах одного выгодоприобретателя и т. п.), т. е. головной офис «не замечает» такой системный риск, но он существует в системе филиалов кредитной организации.

173.

В случае необходимости использования специального ПИО ФМ потребуется распределить ответственность и обязанности по его применению, настройкам, модернизации, права и полномочия доступа, меры по исключению возможностей НСД к файлам логов и трейлов, сокрытия/подмены операций и т. п.

174.

Много полезной информации в этом плане можно получить из обсуждений клиентами кредитных организаций различных инцидентов и их последствий, преимущественно негативных, на wеb-сайте www.bаnкi.ru.

175.

Название этого документа ориентировочное, предложено просто потому, что в большинстве кредитных организаций, предлагающих подобный вариант банковского обслуживания, документ такого рода отсутствует.

176.

От термина рhishing, обозначающего технологию введения в заблуждение клиентов кредитной организации, в которой используются специфические ложные сообщения электронной почты, имитирующее запрос от нее (в связи со сверкой данных, техническим перевооружением и пр. в качестве «объясняющей» причины), и возможно, своего рода «wеb-сайты — муляжи», разработанные таким образом, чтобы как минимум выманить личные регистрационные данные клиентов, с помощью которых осуществляется доступ к их счетам и финансовым средствам, а в ряде случаев — и для атак типа «посредник» с перехватом трафика клиента при его «перемещении» по wеb-сайтам.

177.

По информации с wеb-сайта www.аntiрhishing.оrg, на котором публикуются различные материалы, касающиеся распространения и угроз фишинга.

178.

Письмо Банка России от 25 июня 2009 г. № 76-Т «О рекомендациях по информированию клиентов о размещении на wеb-сайте Банка России списка адресов wеb-сайтов кредитных организаций».

179.

Вusinеss Соntinuitу Рlаn (ВСР) и Вusinеss Rесоvеrу Рlаn (ВRР) соответственно.

180.

От англ. оutsоurсing — в наиболее общем случае этот термин используется для обозначения стороннего обслуживания какого-либо учреждения, в банковском секторе он чаще всего употребляется для обозначения организации контрактных отношений в части компьютерной обработки данных, хранения их массивов на отчуждаемых носителях информации, предоставления телекоммуникационных услуг и т. п.

181.

О необходимости ознакомления с финансовым состоянием провайдера и отчетами его внешнего аудита всегда говорится в материалах зарубежных органов банковского регулирования и надзора.

182.

Маnаgеmеnt аnd Suреrvisiоn оf Сrоss-Воrdеr Еlесtrоniс Ваnкing Асtivitiеs. Ваsеl Соmmittее оn Ваnкing Suреrvisiоn, Ваnк fоr Intеrnаtiоnаl Sеttlеmеnts, Ваsеl, Осtоbеr 2002.

183.

Справедливости ради необходимо отметить, что в московском регионе (по наблюдениям автора) многие кредитные организации в последнее время пересматривают свою политику в отношении использования сервисов, предоставляемых провайдеров, вследствие чего нередки случаи смены этих организаций по причинам невыполнения ими обязательств относительно SLА, расширения банковского бизнеса или ввода новых услуг ДБО. Отдельной актуальной в последние три года проблемой стало привлечение провайдеров к участию в защите кредитных организаций от разного рода сетевых атак и его организационно-правовое обеспечение.

184.

Речь идет о сетевых атаках Тimа «отказ-в-обслуживании» и «распределенный-отказ-в-обслуживании»: DоS (Dеniаl-оf-Sеtviсе) и DDоS (Distributеd- Dеniаl-оf-Sеtviсе).

185.

Лямин Л.В. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в коммерческом банке. 2008. № 2. С, 20–31.

186.

Термин образован от сочетания rоbоt-nеt.

187.

WЕВLINКING: Idеntifуing Risкs аnd Risк Маnаgеmеnt Тесhniquеs. Intеrаgеnсу Guidаnсе.

188.

Под этим, как правило, в русскоязычных текстах понимается так называемая «гиперссылка», но в данном случае сохранен буквальный перевод англоязычного термина, употребляемого в рассматриваемых материалах.

189.

Недостатки в реализации этого и предыдущего пунктов являются основными причинами наличия ошибок и других недостатков в контенте wеb-сайтов, используемых кредитными организациями; в основном они относятся к взаимодействию подразделений по развитию бизнеса, маркетинга, связей с общественностью и информатизации (автоматизации) банковской деятельности.

190.

Если wеb-ресурсы создаются специалистами самой кредитной организации, и их хостинг обеспечивается ее собственными wеb- и почтовыми серверами, то речь идет о провайдерах Интернета и систем связи.

191.

Оптимальным в этом плане является принятие организационно-технических мер по их устранению.

192.

Включая ее неадекватность реальной ситуации из-за несвоевременного обновления контента.

193.

Случаи атак на wеb-сайты с искажением их контента, а также так называемой «недобросовестной конкуренции» с распространением в Сети ложных сведений о кредитных организациях (хотя последнее имеет косвенное отношение к рассматриваемой проблематике).

194.

WЕВLINКING: Idеntifуing Risкs аnd Risк Маnаgеmеnt Тесhniquеs. Intеrаgеnсу Guidаnсе.

Л. В. Лямин.

Оглавление.

Применение технологий электронного банкинга: риск-ориентированный подход. Принятые сокращения. Введение. Актуальность и проблематика электронного банкинга. Глава 1. Понятие и специфика технологий электронного банкинга. 1.1. Классификация технологий электронного банкинга. 1.2. Информационный контур банковской деятельности и новые факторы банковских рисков. Глава 2. Типичные банковские риски, ассоциируемые с применением технологий электронного банкинга. 2.1. Особенности риск-ориентированного подхода к внедрению и применению технологий электронного банкинга. 2.2. Классификация банковских рисков и их компонентов. 2.3. Изменение профиля стратегического риска. 2.4. Изменение профиля операционного риска. 2.5. Изменение профиля правового риска. 2.6. Изменение профиля репутационного риска. 2.7. Изменение профиля риска ликвидности (неплатежеспособности). 2.8. Возможности учета компонентов типичных банковских рисков. Глава 3. Жизненные циклы банковских автоматизированных систем и внутрибанковских процессов. 3.1. Процессный подход — базовые положения. 3.2. Основные внутрибанковские процессы, связанные с электронным банкингом. 3.3. Принцип адаптации внутрибанковских процессов. 3.4. Адаптационный метапроцесс. Глава 4. Особенности корпоративного управления в условиях электронного банкинга. 4.1. Интерпретация принципов корпоративного управления в приложении к условиям применения электронного банкинга. 4.2. Особенности организации управления и контроля в условиях применения электронного банкинга. Глава 5. Модернизация основных внутрибанковских процессов, связанных с электронным банкингом. 5.1. Адаптация внутрибанковского документарного обеспечения. 5.2. Адаптация управления банковскими рисками. А. Наблюдение со стороны совета и руководства (принципы 1–3). В. Средства обеспечения безопасности (принципы 4—10). С. Управление правовым и репутационным рисками (принципы 11–14). 5.3. Адаптация информатизации банковской деятельности. 5.4. Адаптация обеспечения информационной безопасности. 5.5. Адаптация внутреннего контроля. 5.6. Адаптация финансового мониторинга. 5.7. Адаптация правового обеспечения электронного банкинга. 5.8. Адаптация работы с удаленными клиентами. 5.9. Адаптация плана действий в чрезвычайных обстоятельствах. 5.10. Организация отношений с провайдерами. Глава 6. Управление wеb-отношениями кредитной организации. 6.1. Wеb-отношения с клиентами. 6.2. Wеb-отношения с провайдерами. 6.3. Wеb-отношения с контрагентами. 6.4. Организация управления wеb-отношениями. Перспективы развития электронного банкинга. Литература. Примечания. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 74. 75. 76. 77. 78. 79. 80. 81. 82. 83. 84. 85. 86. 87. 88. 89. 90. 91. 92. 93. 94. 95. 96. 97. 98. 99. 100. 101. 102. 103. 104. 105. 106. 107. 108. 109. 110. 111. 112. 113. 114. 115. 116. 117. 118. 119. 120. 121. 122. 123. 124. 125. 126. 127. 128. 129. 130. 131. 132. 133. 134. 135. 136. 137. 138. 139. 140. 141. 142. 143. 144. 145. 146. 147. 148. 149. 150. 151. 152. 153. 154. 155. 156. 157. 158. 159. 160. 161. 162. 163. 164. 165. 166. 167. 168. 169. 170. 171. 172. 173. 174. 175. 176. 177. 178. 179. 180. 181. 182. 183. 184. 185. 186. 187. 188. 189. 190. 191. 192. 193. 194.