1.2. Информационный контур банковской деятельности и новые факторы банковских рисков
Внедрение технологий ДБО привело к образованию принципиально нового явления в банковской деятельности, которое можно определить понятием «информационный контур банковской деятельности» (ИКБД)[13].
В общем случае если бы о возникновении, специфике функционирования и особенностях проявления этого контура заблаговременно задумывались в каждой кредитной организации, переходящей к ДБО, то тематика анализа банковских рисков, сопутствующих внедрению новых технологий такого рода, быстро себя исчерпала бы. Как раз этого и не происходит прежде всего в силу новизны технологий как таковых и неразвитости законодательной базы банковской деятельности. Впрочем, если все, что связано в кредитной организации с ДБО, делать правильно, то ничего страшного или неприятного, связанного с новыми банковскими технологиями, для нее не происходит.Несколько упрощенная, но тем не менее достаточная для предварительного анализа схема ИКБД, предназначенная для обоснования концептуальных положений описываемого ниже подхода, приведена на рис.1.2. На ней условно показаны две кредитные организации в «киберпространстве».
Прежде всего целесообразно обратить внимание на основные, своего рода «системные» факторы, обусловливающие возникновение новых источников компонентов банковских рисков,— таковых можно выделить как минимум три (о других, хотя и не новых, но также принципиально важных факторах риска, сопутствующих электронным банковским технологиям как таковым, будет сказано в следующей главе). Эти факторы в первую очередь логично учитывать при организации управления рисками.
Первый фактор заключается в возникновении для кредитной организации клиентов нового типа, которые зачастую фактически сами играют роли операционистов или близкие к ним. Очевидно, что вместе с переходом кредитной организации к ДБО, те.
к такому варианту предоставления банковских услуг, когда в течение сеанса информационного взаимодействия клиент ей «не виден» и работает с ней «из-за горизонта», эта организация теряет своего рода «линию обороны» от клиента. Если в условиях традиционной организации банковской деятельности клиент должен взаимодействовать с операционным сотрудником, который не позволяет ему совершать ошибки при оформлении своих операций, создавать инциденты информационной безопасности, осуществлять противоправную деятельность и т.п., то в новых условиях предоставления банковских услуг клиенту ничто не может помешать этим заниматься. Столь же очевидно, что чем бoльшую свободу действий кредитная организация предоставит клиенту в рамках ДБО и чем менее жесткие условия обслуживания для него создаст, тем больше проблем такой клиент создаст самой кредитной организации, существенно усложнив для нее сначала создание доказательной базы электронного банкинга, а затем и претензионную работу, и разбор конфликтных ситуаций. Поэтому в содержании договоров с клиентами относительно ДБО (или дополнительных соглашений к договорам банковского счета) кредитной организации необходимо учитывать те особенности удаленного взаимодействия, которые при неблагоприятном стечении обстоятельств могут негативно сказаться на выполнении ею принимаемых на себя обязательств, но не по ее вине, а по вине клиента (который, кстати, далеко не всегда это осознает).Справедливости ради надо отметить, что и сами клиенты, взаимодействующие с кредитными организациями с помощью различных систем электронного банкинга, также не защищены от воздействия рассматриваемого фактора риска — на этом эффекте основан целый ряд мошеннических технологий, упомянутых в начале этой главы, и вариантов их реализации. Результативность атак такого рода в последнее время привела к тому, что Банком России была начата разработка специальных тематических рекомендаций для кредитных организаций, которые ориентируют их на обеспечение дополнительной защиты интересов клиентов[14].
Имеется в виду, что в условиях применения этими организациями так называемых «высоких технологий» целесообразно вместе с внедрением той или иной ТЭБ формировать специальные процедуры, ориентированные на защиту интересов клиентов ДБО и учитывающие особенности конкретной технологии и реализующей ее СЭБ (прежде всего в плане отличия от уже освоенных банковских информационных технологий). Такие процедуры разрабатываются исходя из полного понимания высшим менеджментом кредитной организации специфики ТЭБ и соответствующих средств, применяемых для обеспечения ДБО, и архитектуры ее банковских автоматизированных систем.Эти соображения становятся основанием для пересмотра формирования политики установления взаимоотношений кредитных организаций с клиентами по предоставлению им вариантов ДБО. При этом затрагивается достаточно много аспектов, начиная с содержания договоров на конкретный вид обслуживания и заканчивая пересмотром подходов к осуществлению финансового мониторинга (ФМ), имея в виду в первую очередь мероприятия, необходимые для парирования эффектов взаимной анонимности. В частности, в содержании договоров на ДБО становится необходимо предусматривать специальные соглашения и условия относительно использования средств так называемых аналогов собственноручной подписи, применение которых допускается Гражданским кодексом Российской Федерации (ГК РФ)[15], систем ДБО или, как иногда говорят иначе,— «электронного документооборота» и обеспечения юридической силы электронных документов, расследования спорных (конфликтных) ситуаций, включая создание тех или иных согласительных и технических комиссий, и т.п.
Что касается процесса ФМ, то Банк России со своей стороны уже неоднократно обращал внимание кредитных организаций на наличие таких эффектов и необходимость принятия специальных мер по учету их в процедурах, составляющих внутрибанковский процесс[16]. Сложность ситуации с разработкой документов такого рода обусловлена в первую очередь тем, что каждая кредитная организация, внедряющая какую-либо ТЭБ, даже если эта технология хорошо известна и апробирована в банковском секторе, уникальна в смысле архитектуры своих распределенных компьютерных систем, локальных или зональных вычислительных сетей (охватывающих ее филиалы или дополнительные офисы), квалификации персонала, состава провайдеров и т.д.
Поэтому формирование детальных рекомендаций по организации и содержанию процесса ФМ в условиях ДБО (как, впрочем, и многих других внутрибанковских процессов) просто невозможно, а поэтому кредитные организации по существу оказываются вынуждены самостоятельно приспосабливать этот процесс (равно как и составляющие его процедуры) к своим информационным технологиям, специфическим (зачастую уникальным) архитектурам сетевых структур и каждого ИКБД в целом, особенностям построения их банковских автоматизированных систем и т.п., на что целесообразно обращать внимание их руководству.Вместе с тем осознание необходимости пересмотра организации и содержания процесса ФМ становится в последние годы все более актуальным в связи с теми возможностями, которые высокие технологии, включая технологии электронного банкинга, могут предоставлять для разного рода противоправной деятельности: легализации доходов, полученных преступным путем (так называемого «отмывания денег»), финансирования терроризма, хищений денежных средств, мошенничеств и т.п. При этом необходимо иметь в виду, что незаметное вовлечение кредитной организации в противоправную деятельность может привести к лишению ее лицензии на выполнение банковских операций и судебному преследованию в соответствии с законом. Поэтому руководству кредитной организации целесообразно четко осознавать возможные направления смещения уровней банковских рисков в условиях ДБО, поскольку в случае реализации компонентов правового риска такого рода оценки принимаемого ею кредитного, рыночного и других рисков теряют значение. Очевидно, что любая кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться заподозренной в участии в ускользнувшей от внимания ее сотрудников противоправной деятельности лишь из-за того, что ее высший менеджмент неадекватно представляет себе профиль риска, сопутствующий использованию новых банковских информационных технологий. Это в свою очередь вызывается тем, что условия для осуществления ДБО, которые само руководство и должно подготовить, оказываются неподходящими, почему важно помнить о необходимости создания специальных условий пруденциальной банковской деятельности в условиях ДБО, а специфика эта определяется применяемыми технологиями.
В то же время для клиента, пользующегося СЭБ для получения банковских услуг, особенно операционного характера, принципиально значимым системным фактором риска становится то, что в условиях ДБО он не имеет возможности непосредственного контроля над получением и выполнением кредитной организацией ордеров, отправляемых им через ИКБД[17]. Эта ситуация радикально отличается от непосредственного «физического» взаимодействия клиента с операционистом или кассовым работником кредитной организации — первым для него служит интерфейс с СЭБ или в более общем смысле системой типа «Банк — Клиент», вторым, в случае получения наличных денег,— банкомат, в случае платежа — POS-терминал или его аналог. При этом необходимо подчеркнуть, что никаких теоретических разработок относительно клиентских рисков до настоящего времени не существует, мало того, во всех публикациях по рассматриваемой тематике речь практически всегда идет только о рисках банковской деятельности, хотя сами эти риски зачастую непосредственно зависят от условий, в которые кредитная организация ставит клиента ДБО. Как будет показано ниже, условия эти должны быть максимально жесткими в смысле ограничения количества «степеней свободы», которыми может воспользоваться клиент ДБО во время сеанса связи.
По существу во время сеанса ДБО клиент полностью зависим от кредитной организации (функционирования ее автоматизированных систем) и от провайдеров, которые выполняют свои функции в ИКБД между ним и кредитной организацией. К сожалению, общая «культура» банковской деятельности в российском банковском секторе до последнего времени такова, что клиент ДБО в соответствии с договором, заключаемым им с кредитной организацией, и в силу недостаточной технической квалификации и отсутствия юридической подготовки не обладает почти никакими правами, тогда как обязанностей на него налагается немало (при этом многие клиенты вообще не читают тексты договоров на ДБО). В оптимальном варианте организации договорных отношений такого рода кредитным организациям следовало бы детально знакомить своих клиентов, использующих такое обслуживание, с угрозами, которым «подвергаются» их интересы во время сеансов информационного взаимодействия с ней, причем не «по доброте душевной», а имея в виду снижение для самой себя уровней потенциально возникающих компонентов банковских рисков, о чем уже говорилось, но это, по-видимому, дело будущего (если обратиться к материалам судебных исков последних лет).
Второй факторсистемного характера состоит в том, что в процесс современной банковской деятельности в условиях ДБО оказываются вовлечены третьи стороны, которые ранее к ней отношения преимущественно не имели. К их числу относятся провайдеры кредитных организаций, обеспечивающие формирование и поддерживающие функционирование ИКБД в каждом отдельном случае. Конкретные виды, состав и функции провайдеров кредитной организации определяются тем, какая именно ТЭБ и в каких целях внедряется ею, какая СЭБ реализует эту технологию, а также какие среды передачи данных и каналы (линии) связи при этом задействуются (включая интернет-провайдеров, операторов мобильной связи, платежные системы и т.п.). Очевидно, что если в процессе удаленного информационного взаимодействия сеанс ДБО окажется прерван или подвергнется другому негативному воздействию не по причинам, возникшим в кредитной организации, а из-за проблем, имевших место на территории провайдера, то клиент этой организации, интересы которого пострадали вследствие такого прерывания, обратится с претензиями именно к ней, а не к неведомому ему провайдеру, тем более что в общем случае и сам клиент может находиться в произвольном месте земного шара, где доступно использование какого-либо средства компьютерной связи. Дальнейшие последствия для кредитной организации будут зависеть от того, какой конкретно ущерб был нанесен интересам клиента ДБО, особенно в тех ситуациях, когда речь идет о невыполнении им своих финансовых обязательств перед другими сторонами.
От содержания и организации аутсорсинга такого рода[18] прямо зависят и те варианты зависимости надежности банковской деятельности кредитной организации от провайдеров, в которые неизбежно попадает эта организация вместе со своими клиентами ДБО. Вариантов здесь достаточно много — начиная с обеспечения физической связи со средой информационного взаимодействия и заканчивая обеспечением резервных маршрутов (или каналов) такого взаимодействия при возникновении аварийных ситуаций. Эта множественность вынуждает руководство и специалистов кредитной организации внимательно относиться к содержанию контрактов на аутсорсинг, тщательно анализировать варианты распределения обязанностей и ответственности за уровень обслуживания, возникающие в виртуальном пространстве, включая уровень банковского обслуживания (что, как правило, в таких контрактах просто не учитывается). Независимо от выбранной ТЭБ и состава поддерживающих ее использование провайдеров руководству кредитной организации целесообразно предусмотреть однозначные семантические связи между содержанием контрактов на аутсорсинг и договоров с клиентами на ДБО в части обязанностей и ответственности сторон.
Это может оказаться не такой простой задачей, как нередко считается в отечественных кредитных организациях, причем сложность ее обратно пропорциональна качеству решений, принимаемых в части совершенствования управления банковскими рисками в условиях ДБО. Ничего принципиально невозможного в учете источников компонентов банковских рисков, вновь возникающих из-за действия рассматриваемого фактора риска, нет — проблема заключается в полноте анализа состава ИКБД и ролевых функций составляющих его элементов (что требует понимания сути ТЭБ). Однако ситуация существенно осложняется тем, что результаты «выяснения» правовых отношений, возникающих между агентами удаленного информационного взаимодействия, почти полностью зависят от высоких технологий, а специалисты в сфере таких технологий и в области правового обеспечения банковской деятельности до сих пор говорят, как известно, «на разных языках».
Третий факторсвязан с возникающей в условиях открытых систем и универсальных протоколов сетевого взаимодействия потенциальной доступностью банковских автоматизированных систем и других информационно-процессинговых ресурсов кредитных организаций, а также устройств, используемых их клиентами при ДБО, для несанкционированного доступа и сетевых атак. Угрозы такого рода появились вместе с возникновением банковских автоматизированных систем. Постоянной остается проблема возможных злонамеренных действий со стороны инсайдеров кредитной организации (в широком смысле). Технологии электронного банкинга наряду с выгодами для кредитных организаций и удобствами для их клиентов существенно расширилиспектр потенциальных угроз, которые могут быть реализованы извне этих организаций и при этом настолько «дистанционно», что локализовать источник этих угроз оказывается очень непросто (в том числе ввиду слабой регламентации функционирования провайдеров кредитных организаций и контроля над ними). Вследствие появления ДБО БАС кредитной организации перестает быть «вещью в себе» и при наличии недостатков в сетевой защите и «дыр» в периметре безопасности кредитной организации оказывается доступна для вирусных, хакерских, крэкерских и прочих атак, «достижение целей» которых означает реализацию всех банковских рисков, связанных с этим вариантом банковской деятельности.
Широкое распространение интернет-технологий наряду с интенсивным использованием для банковской деятельности сети Интернет и предоставляемых в связи с этим сетевых ресурсов породило новое направление исследований, относящееся к компонентам банковских рисков, возникающими из-за так называемых web-отношений[19]. Их анализу будет посвящен специальный раздел настоящей книги. Эти отношения возникают при внедрении кредитной организацией такого варианта ДБО, как интернет-банкинг, и требуют в общем случае существенного дополнения процесса управления банковскими рисками новыми процедурами (которые при развитии этой ТЭБ практически составляют новый внутрибанковский процесс, в котором целесообразно согласованное участие нескольких структурных подразделений кредитной организации).
Из дальнейшего изложения можно будет выделить еще несколько менее существенных факторов возникновения источников рисков, образующих соответствующие подмножества для каждого из рассматриваемых типичных банковских рисков, однако все три перечисленных основных фактора системного плана как минимум не должны ускользать от внимания руководства кредитной организации, переходящей к ДБО. Такое понимание значимости кратко рассмотренных выше факторов в современных условиях может стать одной из наиболее важных характеристик качества корпоративного управления в высокотехнологичной кредитной организации. Необходимо отметить, что при этом изменения происходят не только в технологическом и техническом обеспечении банковской деятельности, они в оптимальном варианте должны были бы происходить и в ряде основных бизнес-процессов кредитных организаций (или в подлежащих реализации). В книге рассматриваются возможные подходы к оптимизации способов и условий банковской деятельности при внедрении и применении кредитными организациями новых технологий электронного банкинга, их совершенствовании и комплексном развитии.
Следует специально подчеркнуть, что все процессы информационного взаимодействия в киберпространстве принципиально характеризуются анонимностью агентов этого взаимодействия и установить, кто именно в конкретный момент времени «держал палец на кнопке», с полной уверенностью невозможно. В каждом случае передачи и обработки данных, которые так или иначе связаны с какими-либо активами кредитной организации (являясь либо собственно записями о них или командами на изменения их значений), любой такой процесс существует только в отдельные кванты времени в электронных устройствах или каналах связи. По завершении такого управляющего процесса от него может не оставаться никаких следов, кроме изменения значений полей в записях баз данных, почему и становятся принципиально важными файлы так называемых «компьютерных журналов», фиксирующих события, происходящие в банковских автоматизированных системах (в зависимости от назначения и содержащихся в них данных их часто называют «системными логами» и «аудиторскими трейлами»). Это в свою очередь означает, что традиционныепроцессы управления банковской деятельностью и контроля над ней в высокотехнологичных кредитных организациях заведомо не могут считаться эффективными — эти процессы целесообразно адаптировать к применяемым банковским информационным технологиям и системам на основе риск-ориентированного анализа, который тоже следует адаптировать к специфике таких технологий.
Указанный анализ также целесообразно строить на изучении состава и структуры ИКБД, образуемого ТЭБ, внедряемой кредитной организацией. Даже если такая организация использует две-три однородные системы разного целевого назначения (по функциям, группам клиентуры и т.п.), схожесть процессов информационного взаимодействия в них не должна вводить в заблуждение. В этом случае лучше потратить дополнительное время и силы на аналогичный анализ, но с уверенностью избежать неожиданного негативного проявления какого-либо изначально незамеченного «мелкого» источника риска. Такой подход требует, естественно, подготовки соответствующих руководящих решений и распорядительных документов, что целесообразно предусмотреть заранее, до практического начала ДБО клиентов[20], особенно физических лиц, поскольку, как показывает практика, принципиальное отсутствие корпоративной культуры создает почву для возникновения новых инцидентов информационной безопасности и неправильного использования компьютерных и телекоммуникационных технологий.
Предваряя последующее изложение, можно сделать еще несколько замечаний. Прежде всего любой вновь внедряемой технологии предоставления банковских услуг и осуществления банковской деятельности в целом сопутствует увеличение числа внутрибанковских процессов или хотя бы процедур, составляющих такие процессы. Если этого не происходит, то, как свидетельствует практика, негативные события в жизни кредитной организации и ее клиентов неизбежны из-за непредвиденных ситуаций, которые вполне можно было бы прогнозировать и зачастую просто исключить их возникновение.
Далее приходится также пересматривать уже существующие в кредитной организации процессы с точки зрения их адаптации к новым способам и условиям банковской деятельности в рамках ДБО. Как говорится в уже цитировавшемся источнике, «мы слишком часто обнаруживаем себя ограниченными ментальными барьерами, создаваемыми нами самими. Методы, хорошо работавшие в прошлом, внедрились в наше мышление… если полагаться только на прошлый опыт, то следствием будут попытки применить привычные решения к непривычным проблемам либо не будут найдены новые эффективные подходы к старым проблемам»[21]. Стереотипы руководящего мышления в новых условиях банковской деятельности, формируемых применением технологий электронного банкинга, могут оказаться серьезным дополнительным источником для компонентов всех типов банковских рисков просто потому, что содержание таких технологий сложно для понимания, а из-за этого в свою очередь руководством кредитных организаций не модернизируются своевременно внутрибанковские процессы управления и контроля, в первую очередь процесс управления банковскими рисками. Для этого процесса ресурсная база, существовавшая в кредитной организации до внедрения ТЭБ, оказывается заведомо недостаточной (также в первую очередь), однако это не замечается или замечается слишком поздно для парирования уже реализовавшихся банковских рисков.
Еще одним принципиальным аспектом внутрибанковского управления и контроля в условиях лавинной компьютеризации банковской деятельности становится увеличение опасности возникновения разрывов в этих процессах, особенно если кредитная организация использует разные варианты ДБО, каждому из которых сопутствуют уникальные подмножества источников риска. Поэтому изменения в содержании внутрибанковских процессов и входящих в их состав процедур целесообразно синхронизировать с каждым решением о развитии банковской деятельности в рамках ДБО и каждым фактом внедрения новой технологии электронного банкинга. Этому вопросу будет уделено особое внимание, поскольку речь пойдет о подходе к согласованной модернизации тех внутрибанковских процессов, от которых непосредственно зависит надежность такой банковской деятельности. Говорить об этом нужно потому, что качество корпоративного управления определяется в современных кредитных организациях и новых условиях ДБО тем, насколько реально управляемыми и контролируемыми являются банковские автоматизированные системы.
Наконец, в ходе дальнейшего развития ДБО, без чего конкурентоспособным кредитным организациям, по-видимому, не обойтись, придется вносить существенные адаптационные изменения в свои бизнес-модели. Такие изменения обычно затрагивают стратегическое планирование и работу многих структурных подразделений кредитной организации, распространяясь по ее иерархии после внедрения первой же ТЭБ и соответствующей СЭБ. В дальнейшем этот процесс неизбежно станет повторяющимся при каждом следующем «витке» спирали технического прогресса в отечественном банковском секторе. Поэтому руководителям высокотехнологичных кредитных организаций логично привыкать к «новому мышлению» в связи с применением ДБО, которое будет служить оптимизации корпоративного управления, сохранению надежности и устойчивости этих организаций, равно как и выполнению ими обязательств перед своими клиентами и контролирующими органами.