Очевидны как сходство, так и различия в интерпретации аналогичных угроз надежности банковской деятельности, осуществляемой с использованием кредитными организациями новых компьютерных информационных технологий. Кстати, можно заметить, что при анализе рисков электронного банкинга зарубежные специалисты исключают из ИКБД собственно банковские автоматизированные системы (причем это свойственно специалистам и США, и некоторых стран Западной Европы) ’. В трактовке систем электронного банкинга как виртуальных "ворот", открывающих доступ к информационно-процессинговым ресурсам кредитной организации, такой подход представляется в значительной мере упрощенным, поскольку все подверженные влиянию источников риска ресурсы такого рода сконцентрированы в так называемом "бэк-офисе" кредитной организации. Вследствие этого и анализ содержания компонентов банковских рисков логично осуществлять на всем протяжении ИКБД, который замыкается в хранилище банковских и клиентских данных, используемых для операционной и информационной деятельности кредитной организации, включающей также предоставление информации ее клиентам по счетам и операциям, равно как и подготовку регламентной банковской отчетности для контролирующих органов.
В российской литературе, посвященной рискам банковской деятельности, также часто встречаются "новые" банковские риски, упоминаемые в связи с разными сторонами информатизации этой деятельности. Наиболее "популярными" из них стали "информационные", "технологические", "технические" риски (или их комбинации) и некоторые другие. Дело не в новых названиях как таковых, а в том, что предметная область банковских рисков как бы становится шире вместе с каждой новой банковской информационной технологией, а значит, размывается и становится безграничной и соответствующая методология (как область знаний); вместе с тем она постоянно устаревает, вследствие чего использовать ее на практике почти невозможно. На самом деле новые технологические и технические решения сами собой не приводят к возникновению новых видов банковских рисков, которые необходимо учитывать в процессе управления ими (кстати, традиционно считается, что в него входят также процедуры выявления, анализа, мониторинга и оценки уровней этих рисков) и в "изобретении" этих видов рисков необходимости нет. Противоречия, подобные приведенному, свидетельствуют, по мнению автора, о неперспективности такого "экстенсивного" подхода к описанию и анализу банковских рисков. Понимая, что увеличение "множественности видов" банковских рисков препятствует поддержанию целостности и обеспечению преемственности методологии анализа банковских рисков с течением времени и технического прогресса, логичнее было бы более детально изучать и анализировать их структуру. Следовательно, имея в виду возможное развитие их с течением времени, все перечисленные выше новые риски целесообразно интерпретировать как компоненты типичных банковских рисков, уделяя им внимание при внедрении каждой новой ТЭБ.
С одной стороны, наличие некоторого хаоса в рассматриваемой области неудивительно, поскольку осознание рассматриваемых рисков оказалось непосредственно и почти исключительно связано с долгим эмпирическим путем развития и освоения банковского дела как такового. С другой стороны, быстрое внедрение и распространение банковских информационных технологий привело к таким системным изменениям в банковской сфере, которые создали условия для неожиданных и крупных трансформаций профилей рисков, обусловленных варьирующимися факторами риска как для отдельных кредитных организаций, независимо от их размеров, так и для финансовых систем в разных странах (в силу эффекта лавинного распространения рисков). Поэтому понятие риска как вероятности каких-либо потерь (включая упущенную выгоду) повсеместно становится предметом изучения и с эвристических, и с математических позиций, а для высокотехнологичных кредитных организаций отсутствие единой теории банковских рисков создает дополнительные проблемы с учетом их специфических компонентов, вносимых ДБО, в процессе управления банковскими рисками (УБР).
Анализ причин возникновения технологических и технических компонентов типичных банковских рисков приводит к выводу, что основным фактором для этого (опять-таки системного характера) является превращение банковской деятельности в своего рода "информационную дисциплину", которая в современном мире естественным образом оказалась "замкнута" на компьютерные технологии и вычислительные сети. Это означает, что все угрозы надежности банковской деятельности, порождающие источники указанных компонентов, можно свести в два небольших перечня:
1) данные (банковские и клиентские), передаваемые, обрабатываемые и хранимые в ИКБД, могут быть:
- похищены,
- изменены,
- уничтожены,
2) операции, совершаемые с этими данными, могут быть:
- имитированы,
- искажены,
- блокированы.
Поэтому становится необходимым постоянное обеспечение кредитной организацией авторизации, верификации и контроля получаемых, передаваемых и обрабатываемых финансовых и других (банковских, клиентских) данных, равно как и операций, осуществляемых с этими данными. Для этого в условиях применения электронного банкинга требуются дополнительные специальные процедуры, необходимости в которых при традиционной банковской деятельности не было в силу отсутствия такого явления, как ИКБД.
Эта проблематика до сих пор не считалась значимой и актуальной, по-видимому, из-за того, что автоматизация деятельности кредитных организаций, включая ДБО, не воспринималась как системный феномен, влияющий на эффективность и качество данной деятельности и превративший эти организации в аппаратно-программные комплексы информационных систем, состоящие из двух основных частей: БАС (в широком смысле) и хранилища банковских данных. Одновременно изменился и характер целого ряда типичных банковских рисков, в которых все более значимую роль стали играть их компоненты технологического и технического характера. Отсутствие такого восприятия объясняется, вероятно, несоответствием традиционного, устоявшегося понимания содержания банковской деятельности ее радикально изменившемуся характеру, обусловленному возникновению новых вариантов ДБО. Из-за этого в кредитных организациях возникли многочисленные недостатки в осуществлении УБР, негативное влияние которых на характеристики банковской деятельности и интересы клиентов этих организаций усугубляются опережающими темпами внедрения новых банковских информационных технологий и систем электронного банкинга по сравнению с совершенствованием процесса УБР.
Чтобы не "нагромождать" все новые и новые риски в ситуациях применения кредитными организациями разнородных технологий электронного банкинга, предлагается простая модификация традиционного подхода, ориентированная на анализ состава компонентов типичных банковских рисков, который неизбежно усложняется за счет возникновения их дополнительных источников, обусловленных в свою очередь действием рассмотренных выше новых факторов риска в ИКБД. Таким образом, в предлагаемой методологии риск-ориентированного подхода постулируется, что внедрение кредитными организациями новых информационных технологий, в том числе технологий электронного банкинга, не приводит к возникновению новых видов банковских рисков, но расширяет состав факторов и порождаемых ими источников компонентов типичных банковских рисков и вызывает смещения профилей рисков, сопутствующих банковской деятельности.
Здесь уместно также подчеркнуть различие между традиционными системами "Банк - Клиент" так называемого "закрытого" типа, которые предлагались только для юридических лиц и оказывались удобны лишь в тех случаях, когда "точка входа" в такую систему оставалась стационарной (в виде АРМ), и быстро распространяющимися системами ДБО с вариативным доступом к ним. Их разновидности продолжают появляться, что связано преимущественно с развитием мобильных средств связи и сопутствующих им компьютерных систем, а значит, возникают специфические для последних источники компонентов банковских рисков, которые существенно отличают их от систем со стационарными автоматизированными рабочими местами для ДБО. В свою очередь общность рассмотрения данной предметной и проблемной области предполагает ее инвариантность к особенностям среды информационного взаимодействия, в которой действуют элементы ИКБД.
В число основных факторов системного уровня, которые принципиально повышают уровни ряда типичных банковских рисков при использовании технологий электронного банкинга, входят также следующие:
- "виртуальный" характер дистанционных банковских операций;
- доступность "открытых" телекоммуникационных систем;
- чрезвычайно высокая скорость выполнения транзакций в виртуальном пространстве;
- глобальный характер межсетевого операционного взаимодействия;
- участие компаний-провайдеров в реализации банковского обслуживания;
- возможности использования систем электронного банкинга для противоправной деятельности.
Недостатки в учете этих факторов при внедрении технологий электронного банкинга приводят к росту вероятностей реализации компонентов банковских рисков как для кредитных организаций, так и для их клиентов. В свою очередь необходимость учета этих факторов в УБР приводит к требованию уточнения понятия и содержания собственно "банковской деятельности".
Это понятие стало существенно шире за последние годы, охватывая процесс применения банковских информационных технологий, а также новые способы и средства информационного взаимодействия кредитных организаций со своими клиентами и контрагентами. Соответственно в процессе УБР необходимо учитывать это расширение, поскольку результаты банковской деятельности стали в значительной мере, если не полностью, зависеть от того, могут ли считаться условия применения таких технологий пруденциальными и каким образом обеспечивается и гарантируется технологическая и техническая надежность кредитных организаций, равно как и эффективность процессов управления и контроля в них.
2.1. Особенности риск-ориентированного подхода к внедрению и применению технологий электронного банкинга
Как показывает анализ изменений, происходящих в составе и содержании банковских бизнес-процессов (в оптимальном варианте подлежащих внесению кредитными организациями вместе с внедрением ими технологий электронного банкинга - независимо от их общего количества и функциональных особенностей), вслед за такими изменениями могут (а лучше бы должны) следовать и изменения в организационно-штатной структуре кредитной организации. Фактически подразумевается требование адаптации распределения функциональных ролей, ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности конкретных руководителей и исполнителей на различных уровнях иерархии управления этой организации к новым банковским технологиям. Это положение относится к целому ряду специальных служб в структуре кредитной организации. Прежде всего к подразделениям, отвечающим за процесс УБР, применение информационных технологий (ИТ) и (или) автоматизацию, внутренний контроль и финансовый мониторинг (в настоящее время эти два процесса нередко реализует одно подразделение), обеспечение информационной безопасности, ведение претензионной работы, а также сервис-центр и некоторые другие. Вместе с тем все сопутствующие и адекватные складывающейся в кредитной организации ситуации изменения должны коснуться и документарного обеспечения деятельности перечисленных подразделений. Такие изменения инициируются, как правило, органами управления этой организации и реализуются соответствующими (достаточно специфическими по сути) внутрибанковскими процессами и процедурами.
На сегодняшний день полнота, адекватность и качество бизнес-процессов в кредитной организации фактически стали определяться соответствием их новому, к сожалению, не получившему пока правильного осознания принципу: "Знай свои технологии". Без преувеличения можно сказать, что большинство процедур, входящих в состав внутрибанковских процессов, реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами. Да и сама кредитная организация, если говорить о собственно выполнении банковских операций "и других сделок", о которых сказано в ст. 5 Федерального закона от 2 декабря 1990 г. № 395-1 "О банках и банковской деятельности", в значительной своей части представлена теперь не зданием с обозначающей ее вывеской, а БАС и хранилищем данных, доступ к которым во все большем числе случаев обеспечивают системы ДБО. Таким образом, привычный "Банк" оказывается для клиента кредитной организацией не более чем "кирпичным интерфейсом", служащим для официального оформления и инициации доступа к той БАС, которая выполняет все банковские операции и совершает другие сделки (причем не обязательно в самой кредитной организации). В дополнение к этому клиент может в ряде случаев осуществлять доступ к бэк-офису кредитной организации через ИКБД, выступая фактически в роли "операциониста", взаимодействующего с ее БАС удаленно, что радикально меняет и характер отношений с ним кредитной организации, и состав так называемых "зон ответственности" этой организации, и ее "периметр безопасности". Приведенные наблюдения оказываются тем более справедливыми, что по состоянию на февраль 2009 г. большинство кредитных организаций применяет от двух до десяти систем ДБО разного или вариативного функционального назначения (пик соответствующей диаграммы приходится на 3–4 системы такого рода). Одновременно, как правило, задействуются и 2–4 web-сайта (по той же статистике - даже до 12!).
Внедрение любых технологий электронного банкинга не должно негативно сказываться на надежности и устойчивости высокотехнологичных кредитных организаций, т. е. уровень совокупного или агрегированного банковского риска повышаться не должен. Это означает, что изменения в структурах профилей отдельных типичных банковских рисков должны происходить таким образом, чтобы профиль агрегированного риска, пусть даже меняясь, оставался контролируемым в смысле установленных для его компонентов пределов с учетом их возможного взаимного влияния. При этом подразумевается, что в кредитной организации существует описание этих компонентов в форме определений основных типичных банковских рисков, имеющих компоненты технологического и технического характера, причем в эти описания своевременно (в оптимальном варианте) вносятся коррективы, определяемые особенностями вновь внедряемой ТЭБ и реализующей ее СЭБ.
В этой книге используется иерархическая модель для профилей банковских рисков, представленная на рис. 2.1, которая была апробирована в процессе проводившихся в течение нескольких лет исследований организации банковской деятельности, осуществляемой технологиями электронного банкинга. В ней фигурируют три уровня: помимо уровня известных типичных банковских рисков (ТБР) рассматриваются также нижележащий уровень так называемых "элементарных" банковских рисков (ЭБР) и вышележащий уровень "системных" банковских рисков (СБР). Это в известной степени условные понятия, призванные лишь подчеркнуть различия между уровнями анализа состава компонентов агрегированного банковского риска: каждый ЭБР соответствует некоему недостатку в формировании организационно-технической базы банковской деятельности или, иначе, "просчету" в управлении рисками банковской деятельности в смысле превентивного воздействия на потенциальные источники компонентов этих рисков. Каждый СБР характеризует возможные последствия влияния неконтролируемого изменения профиля и повышения отдельного ТБР или их совокупности, что в итоге может привести к негативным событиям системного характера: отзыву лицензии на осуществление банковских операций, банкротству, ограничению выполняемых операций и т. п. На средней условной плоскости ТБР показан профиль риска в форме Пентагона с указанием уровней пяти типичных банковских рисков.