2.1. Особенности риск-ориентированного подхода к внедрению и применению технологий электронного банкинга

Как показывает анализ изменений, происходящих в составе и содержании банковских бизнес-процессов (в оптимальном варианте подлежащих внесению кредитными организациями вместе с внедрением ими технологий электронного банкинга – независимо от их общего количества и функциональных особенностей), вслед за такими изменениями могут (а лучше бы должны) следовать и изменения в организационно-штатной структуре кредитной организации. Фактически подразумевается требование адаптации распределения функциональных ролей, ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности конкретных руководителей и исполнителей на различных уровнях иерархии управления этой организации к новым банковским технологиям. Это положение относится к целому ряду специальных служб в структуре кредитной организации. Прежде всего к подразделениям, отвечающим за процесс УБР, применение информационных технологий (ИТ) и (или) автоматизацию, внутренний контроль и финансовый мониторинг (в настоящее время эти два процесса нередко реализует одно подразделение), обеспечение информационной безопасности, ведение претензионной работы, а также сервис-центр и некоторые другие. Вместе с тем все сопутствующие и адекватные складывающейся в кредитной организации ситуации изменения должны коснуться и документарного обеспечения деятельности перечисленных подразделений. Такие изменения инициируются, как правило, органами управления этой организации и реализуются соответствующими (достаточно специфическими по сути) внутрибанковскими процессами и процедурами.

На сегодняшний день полнота, адекватность и качество бизнес-процессов в кредитной организации фактически стали определяться соответствием их новому, к сожалению, не получившему пока правильного осознания принципу: «Знай свои технологии»[32]. Без преувеличения можно сказать, что большинство процедур, входящих в состав внутрибанковских процессов, реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами. Да и сама кредитная организация, если говорить о собственно выполнении банковских операций «и других сделок», о которых сказано в ст. 5 Федерального закона от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности», в значительной своей части представлена теперь не зданием с обозначающей ее вывеской, а БАС и хранилищем данных, доступ к которым во все большем числе случаев обеспечивают системы ДБО[33]. Таким образом, привычный «Банк» оказывается для клиента кредитной организацией не более чем «кирпичным интерфейсом», служащим для официального оформления и инициации доступа к той БАС, которая выполняет все банковские операции и совершает другие сделки (причем не обязательно в самой кредитной организации). В дополнение к этому клиент может в ряде случаев осуществлять доступ к бэк-офису кредитной организации через ИКБД, выступая фактически в роли «операциониста», взаимодействующего с ее БАС удаленно, что радикально меняет и характер отношений с ним кредитной организации, и состав так называемых «зон ответственности» этой организации, и ее «периметр безопасности»[34]. Приведенные наблюдения оказываются тем более справедливыми, что по состоянию на февраль 2009 г. большинство кредитных организаций применяет от двух до десяти систем ДБО разного или вариативного функционального назначения (пик соответствующей диаграммы приходится на 3 – 4 системы такого рода). Одновременно, как правило, задействуются и 2 – 4 web-сайта (по той же статистике – даже до 12!).

Внедрение любых технологий электронного банкинга не должно негативно сказываться на надежности и устойчивости высокотехнологичных кредитных организаций, т.е. уровень совокупного или агрегированного банковского риска[35] повышаться не должен. Это означает, что изменения в структурах профилей отдельных типичных банковских рисков должны происходить таким образом, чтобы профиль агрегированного риска, пусть даже меняясь, оставался контролируемым в смысле установленных для его компонентов пределов с учетом их возможного взаимного влияния. При этом подразумевается, что в кредитной организации существует описание этих компонентов в форме определений основных типичных банковских рисков, имеющих компоненты технологического и технического характера, причем в эти описания своевременно (в оптимальном варианте) вносятся коррективы, определяемые особенностями вновь внедряемой ТЭБ и реализующей ее СЭБ.

В этой книге используется иерархическая модель для профилей банковских рисков, представленная на рис. 2.1, которая была апробирована в процессе проводившихся в течение нескольких лет исследований организации банковской деятельности, осуществляемой технологиями электронного банкинга. В ней фигурируют три уровня: помимо уровня известных типичных банковских рисков (ТБР) рассматриваются также нижележащий уровень так называемых «элементарных» банковских рисков (ЭБР) и вышележащий уровень «системных» банковских рисков (СБР). Это в известной степени условные понятия, призванные лишь подчеркнуть различия между уровнями анализа состава компонентов агрегированного банковского риска: каждый ЭБР соответствует некоему недостатку в формировании организационно-технической базы банковской деятельности или, иначе, «просчету» в управлении рисками банковской деятельности в смысле превентивного воздействия на потенциальные источники компонентов этих рисков. Каждый СБР характеризует возможные последствия влияния неконтролируемого изменения профиля и повышения отдельного ТБР или их совокупности, что в итоге может привести к негативным событиям системного характера[36]: отзыву лицензии на осуществление банковских операций, банкротству, ограничению выполняемых операций и т.п. На средней условной плоскости ТБР показан профиль риска в форме Пентагона с указанием уровней пяти типичных банковских рисков.

Рис. 2.1. Пример профиля банковских рисков при использовании иерархического подхода

Чтобы удерживать уровни банковских рисков в допустимых пределах, необходимо осуществлять выявление их компонентов, анализировать причины их возникновения – источники указанных компонентов, определять меры воздействия на эти источники (осуществлять собственно УБР) и контролировать результаты такого воздействия. В свою очередь для эффективной организации и реализации перечисленных процедур в составе процесса УБР целесообразно учитывать уже разработанные и апробированные подходы к его формированию, кратко рассматриваемые ниже.

В одном из основных материалов БКБН, посвященных проблематике УБР в новых условиях[37], отмечается: «При выборе технологии электронного банкинга руководству кредитной организации следует анализировать сопутствующие ей факторы и источники рисков, а также оценивать возможности управления данной технологией и контроля ее использования». При этом специально в отношении ДБО через Интернет, учитывая способность технологий такого рода стимулировать взаимную анонимность кредитных организаций и их клиентов (скрытых средой информационного взаимодействия), говорится, что «предоставление финансовых услуг через Интернет может существенно изменить и (или) даже увеличить традиционные банковские риски (например, стратегический, репутационный, операционный, кредитный и ликвидности)». На самом деле состав банковских рисков, на изменение профилей и уровней которых влияют технологии электронного банкинга, непосредственно зависит от особенностей банковского законодательства, действующего в той или иной стране. Поэтому перечни банковских рисков, приводимые в различных руководствах зарубежных органов банковского регулирования и надзора, отвечают условиям только конкретной страны (или так называемой «объединенной Европы»), а в широком смысле они, конечно, вариативны. Кроме того, в этом же смысле рассматриваемый риск-ориентированный подход не ограничивается только рисками, которые принимают на себя кредитные организации, а распространяется и на их клиентов, что в условиях электронного банкинга приобретает, так сказать, «особую значимость», потому что риски, которым подвергаются такие клиенты, могут непосредственно преобразоваться в компоненты типичных банковских рисков (о чем чаще всего просто забывают).

В число основных характеристик современных условий осуществления банковской деятельности (которые целесообразно учитывать при стратегическом планировании использования электронного банкинга) входят:

– активная разработка и внедрение новых вариантов банковского обслуживания и сопутствующих им новых банковских технологий;

– внесение изменений в законодательство, ориентированных на повышение надежности и транспарентности банковской деятельности[38];

– дефицит специалистов в области технологий электронного банкинга на фоне их быстрого развития и распространения;

– многообразныезависимости эффективности банковскойдеятельности от сторонних организаций (разного рода аутсорсинга);

– усложнение контроля над процессами, протекающими в виртуальном пространстве банковской деятельности («киберпространстве»).

При этом наблюдается принципиальное противоречие между темпами развития банковских информационных технологий и законодательной базы осуществления банковской деятельности и ее обеспечения. Эти условия никак не зависят от кредитных организаций, поэтому учитывать их целесообразно как факторы возникновения потенциальных проблем, с которыми вполне вероятно им придется столкнуться при внедрении ТЭБ. Здесь уместно сделать краткое отступление, чтобы отметить некоторые особенности проявления таких факторов, о которых целесообразно подумать еще до начала этого внедрения при принятии решения относительно выбора конкретной технологии.

Прежде всего руководству кредитной организации уместно оценить, насколько хорошо известна, распространена и апробирована предлагаемая ТЭБ, поскольку история развития банковского дела знает немало примеров использования недостаточно хорошо освоенных технологий и систем такого рода, что всегда приводило к реализации компонентов всех имеющих отношение к делу типичных банковских рисков. «Пробелы» в законодательстве обычно приводят к несовпадениям в интерпретации правил и условий использования ДБО разными сторонами, оказывающимися в спорных ситуациях, связанных с недостатками в организации условий применения конкретной ТЭБ (в самом широком смысле), равно как в содержании обязанностей и ответственности лиц, от которых оно зависит, и определении степени ответственности сторон – участников конфликта. Здесь следует отметить и то, что российским кредитным организациям до настоящего времени приходится самим парировать недостатки отечественного финансового, и в частности банковского законодательства, что относится в значительной мере к содержанию текстов договоров с клиентами ДБО и контрактов с провайдерами, действующими в соответствующем ИКБД: положения этих документов подвергаются наиболее тщательному анализу в арбитражных судах.

В более узком смысле для того чтобы руководству кредитной организации определить состав факторов риска, способных негативно повлиять на процесс и результаты банковской деятельности, удобно разбить ИКБД на так называемые «зоны концентрации источников риска» (как минимум – известные специалистам кредитной организации и предполагаемые ими) и проанализировать особенности каждой из них. Первой такой зоной является клиент ДБО, последней – компоненты локальной вычислительной сети (ЛВС) этой организации, между которыми располагаются зоны, относящиеся к ее провайдерам, телекоммуникационным системам и пр., включая зональные вычислительные сети (ЗВС) в распределенных или многофилиальных структурах крупных кредитных организаций. Затем, при необходимости, отдельные факторы или источники рисков можно сгруппировать по признакам их возможного проявления в тех или иных типичных банковских рисках. Это может оказаться полезным, например, при организации управления банковскими рисками по их типам: операционный, правовой, репутационный и др. Как бы то ни было, указанные зоны подлежат описанию во внутренних документах кредитной организации, относящихся к управлению банковскими рисками, вместе с общими мерами по парированию их потенциального влияния.

В связи с этим можно определить основные подлежащие оперативному решению проблемы, связанные с новыми факторами, повышающими уровни банковских рисков при использовании технологий электронного банкинга, с чем сталкиваются соответствующие кредитные организации при создании пруденциальных условий банковской деятельности (с учетом всех зон ответственности и концентрации источников компонентов банковских рисков):

для кредитных организаций:

а) возможно снижение надежности (а вслед за этим и устойчивости) банковской деятельности из-за неадекватного учета новых факторов и источников банковских рисков, обусловленных спецификой новой ТЭБ и сложностью контроля реализующих их внутрибанковских и системных процессов;

б) из-за различий в практической реализации кредитными организациями технологии электронного банкинга возникает необходимость в точном учете конкретного состава реально действующих факторов риска в каждом отдельном случае (варианте архитектуры БАС и систем электронного банкинга);

для клиентов кредитных организаций:

а) возможен ущерб их интересам из-за реализации неизвестных или малоизвестных им факторов и источников банковских рисков при отсутствии у них достаточной квалификации в части ТЭБ (включая понимание функционирования конкретного ИКБД в выбранном ими варианте ДБО);

б) освоение выбранной СЭБ может оказаться серьезно затруднено из-за несоответствия характеристик собственной личности (возраст, социальное положение, образование, сфера деятельности и т.п.), следствием чего станет повышение уровней принимаемых на себя «клиентских» рисков.

Поэтому, в частности, в ряде своих материалов БКБН отмечает необходимость разработки кредитными организациями «эффективной внутрибанковской политики и практики управления проектами, жизненным циклом систем, контроля над изменениями и гарантией обеспечения требуемого качества банковской деятельности и обслуживания клиентов»[39]. Одновременно подчеркивается, что план внесения адаптационных изменений в перечисленные компоненты банковской деятельности (и внутрибанковские процессы) высшему руководству кредитных организаций целесообразно составлять еще до перехода к практической эксплуатации систем ДБО. Причем план этот должен «эффективно доводиться» до всех менеджеров структурных подразделений кредитной организации, которые будут иметь отношение к использованию новой банковской технологии.

Наиболее значимой особенностью организации процесса УБР в условиях электронного банкинга является вариативность ИКБД, компоненты которого и их потенциальное негативное влияние необходимо учитывать. При этом приходится помнить о том, что каждая ТЭБ и реализующая ее СЭБ создают свой собственный контур такого рода, и эти информационные контуры могут не только не совпадать (даже при использовании однородных технологий электронного банкинга), но и существенно различаться подмножествами источников компонентов риска, концентрирующихся в тех или иных зонах. Сами эти зоны также могут оказаться неявно выраженными, скажем, в случаях использования кредитной организацией так называемых «виртуальных частных сетей»[40], формирующих в общедоступных сетях передачи данных защищенные «туннели» передачи информации, сетевых экранов (брандмауэров) и прокси-серверов, требующих весьма тщательной настройки своего программно-информационного обеспечения, с помощью которого организуется сетевая защита. Недостатки в организации применения информационных технологий такого рода, которые известны, как правило, только узким специалистам, могут оказаться теми «виртуальными воротами» к информационно-процессинговым ресурсам бэк-офиса кредитной организации, на которые обычно нацелены хакерские, вирусные и прочие сетевые атаки.

Очевидно, что риск-ориентированный подход требует не только составления схем ИКБД, определения и описания зон концентрации источников компонентов банковских рисков, но и комплексного анализа их потенциального влияния на указанные ресурсы. При этом важно постараться охватить процессом УБР все каналы информационного взаимодействия кредитной организации с клиентами или, при неблагоприятном стечении обстоятельств, – со злоумышленниками, имея в виду, что в условиях развитых филиальных структур необходима организация мониторинга влияния источников компонентов банковских рисков во всей структуре подразделений кредитной организации и для всех ее систем электронного банкинга (особенно в ситуациях, когда услуги электронного банкинга предоставляются филиалами), охватывая также и БАС (о чем нередко забывают).

2.2. Классификация банковских рисков и их компонентов

Основной акцент при рассмотрении факторов и источников компонентов банковских рисков необходимо делать на выполнении кредитной организацией своих обязательств перед клиентами ДБО и на защите их интересов. Безусловно, это не означает, что кредитные организации забудут о своих коммерческих интересах, но, с точки зрения автора, риск-ориентированное рассмотрение проблематики ДБО может считаться полноценным только в том случае, если оно одновременно и «клиент-ориентированное». В банковской сфере сосредоточены интересы огромного числа клиентов кредитных организаций, которые всегда будут оставаться зависимыми от доверия к ним со стороны таких клиентов. Отсутствие доверия, как справедливо подчеркивается в материалах БКБН, способно вызвать кризисные явления в этой сфере. Достаточно заметить, что количество клиентов ДБО у разных кредитных организаций, действующих на территории Российской Федерации, варьируется от нескольких сотен до нескольких сотен тысяч, так что процессы УБР и претензионной работы целесообразно рассматривать как не менее важные, чем собственно операционная деятельность кредитных организаций (к сожалению, такой подход пока еще нельзя считать распространенным в отечественном банковском секторе).

Как бы то ни было, кредитным организациям, переходящим к ДБО, целесообразно осуществлять упреждающий анализ влияния описанных выше основных факторов возникновения новых компонентов банковских рисков на эффективность банковской деятельности в целом. Типичные банковские риски, в составе которых имеются сопутствующие ДБО компоненты административно-организационного, технологического и технического характера, перечислены в упоминавшемся ранее Письме Банка России от 31 марта 2008 г. № 36-Т (далее – Письмо 36-Т). То, что акцент в этом документе сделан на технологии интернет-банкинга, не сказывается на общности рассмотрения, поскольку практически все изложенное в этом документе можно непосредственно соотнести со всеми остальными технологиями ДБО. К числу банковских рисков, с которыми ассоциируются указанные компоненты, в Письме 36-Т отнесены: стратегический, операционный, правовой, репутационный риски и риск ликвидности (который в условиях электронного банкинга модифицируется в риск неплатежеспособности[41]).

Прежде чем перейти к дальнейшему изложению, следует сделать некоторые пояснения относительно отбора типичных банковских рисков для последующего анализа. Дело в том, что из общего числа этих рисков в зависимости от особенностей действующего банковского законодательства некоторые себя никак не проявляют, тем не менее это не означает, что с внесением изменений в законодательство они не заявят о себе в будущем. Поэтому ниже приводятся выдержки из материала Управления контролера денежного обращения США (ОСС)[42], в котором рассматриваются все классифицированные этой организацией банковские риски, рассматриваемые на примере ДБО в варианте интернет-банкинга и приводимые здесь в качестве наиболее полного варианта анализа такого рода. Эти выдержки (как, впрочем, и сам цитируемый документ) могут оказаться полезными при принятии в кредитной организации руководящих решений относительно содержания ДБО и организации пруденциальных условий его применения. В этих рекомендациях речь идет о следующих девяти (основных?) банковских рисках[43]:

– кредитном;

– операционном;

– ценовом;

– ликвидности;

– процентном;

– валютном;

– правовом;

– репутационном;

– стратегическом.

Затем кратко излагаются описания факторов возможного повышения уровней каждого из перечисленных банковских рисков (свойственные, естественно, американской действительности).

В качестве причин повышения уровня кредитного риска в рассматриваемом материале упоминаются следующие: «Отсутствие личного контакта с клиентами при взаимодействии через Интернет может привести к возникновению проблемы верификации истинности личностей клиентов и в дальнейшем к ошибочным решениям в части кредитования. Могут возникнуть трудности при подтверждении залога и выполнении соглашений по обеспечению безопасности совершения операций интернет-банкинга.

При отсутствии правильного управления [кредитованием][44] использование интернет-банкинга может привести к концентрации кредитов у заемщиков или кредитов в отдельной отрасли производства.

Возможно недостаточное осознание советом директоров и руководством [кредитной организации] дополнительных факторов кредитного риска в связи с применением технологии интернет-банкинга».

Очевидно, что в российских условиях приведенные соображения пока еще не стали актуальными в силу известных законодательных ограничений.

В отношении операционного риска в цитируемом материале ОСС отмечается, что «возможны ошибки при выполнении и (или) отказы в предоставлении услуг интернет-банкинга в связи со сбоями в функционировании системы или программного обеспечения. Клиенты, осуществляющие деловые операции через Интернет, скорее всего не потерпят ошибок или промахов со стороны финансовых учреждений, которые не обладают специальными средствами внутреннего контроля для управления проведением операций в рамках интернет-банкинга. Подобным образом клиенты ожидают непрерывной доступности конкретной услуги и web-страниц с простой навигацией (ориентацией) по ним.

В дополнение к операционному риску ошибки в клиринге могут повысить репутационный риск, риск ликвидности и кредитный риск».

Здесь следует отметить, что в условиях электронного банкинга операционный риск характеризуется существенно большей вариативностью, нежели предусмотрено в материале ОСС, поскольку в его состав входят компоненты, относящиеся ко всему ИКБД, включая не только web-сайты кредитных организаций, но и разнообразные каналы (линии) связи, системы основных и суб-провайдеров, возможные сетевые атаки, а также самих клиентов указанных организаций, о чем в рассматриваемом материале вообще не упоминается (возможно, в силу более высокой компьютерной грамотности населения США, хотя это в данном случае не принципиально).

О ценовом риске сказано следующее:

«Банки могут оказаться подвержены ценовому риску, если они начинают или расширяют депозитный брокеринг, торговлю кредитами или программу страхования от риска в результате деятельности в рамках интернет-банкинга. При осуществлении интенсивного трейдинга активов возможно наличие недостатков в действующих системах управления для измерения и мониторинга ценового риска, а также управления им».

Этот риск для отечественных кредитных организаций, применяющих технологии электронного банкинга, пока что не актуален.

В части риска ликвидности отмечается только то, что: «Возможно значительное увеличение изменчивости в депозитах, поступающих от клиентов, которые держат свои счета только из соображений [наиболее выгодных] ставок или сроков.

Системы управления активами/пассивами и кредитным портфелем должны соответствовать услугам, предлагаемым в рамках интернет-банкинга».

Надо отметить, что с понятием «ликвидность» здесь связан лишь традиционный смысл, т.е. используемая семантика не учитывает давно уже ставших традиционными проблем не столько с наличием у кредитной организации финансовых средств (ликвидных активов), сколько с их получением клиентами в требуемые им моменты времени. Это актуально во всех случаях так называемых «электронных переводов»[45], в том числе когда клиентами кредитной организации являются не только физические лица, но и юридические, включая другие кредитные организации. Об этом подробнее будет сказано ниже при рассмотрении полных формулировок банковских рисков и «заложенных» в этих формулировках причинно-следственных связей между негативными событиями и их последствиями для кредитных организаций, предлагающих ДБО, и соответствующих клиентов.

Учет особенностей изменения процентного риска также представляется пока что не актуальным, однако в интересах полноты изложения следует привести относящуюся к нему цитату: «Интернет-банкинг может способствовать формированию депозитных, кредитных и других отношений с более широким кругом потенциальных клиентов, чем другие формы маркетинга. Доступ более широкого круга клиентов, заинтересованных преимущественно в наиболее высоких процентных ставках или сроках, усиливает потребность руководства [кредитной организации] в поддержании на должном уровне систем управления активами/пассивами, включая способность быстрого реагирования на изменяющиеся рыночные условия».

Также в плане ДБО пока неактуально повышение уровня валютного риска, о причинах которого сказано, что: «Возможны недостатки в системах контроля для приема депозитов от клиентов-нерезидентов или открывающих счета, номинированные в валютах, отличных от доллара США».

Что касается правового риска, то его возникновение связывается с такими проблемами, как «недостаточно развитая нормативная база, применимая к операциям электронного финансового обслуживания, включая интернет-банкинг. Возможны недостатки в контроле над выполнением требований, применимых к электронному обслуживанию и предоставлению услуг через Интернет или отсутствие такого контроля. Возможно невыполнение правила "знай своего клиента" и нарушение запретов, наложенных на некоторых из них».

Сказанное здесь вполне справедливо, но это не все, что желательно учитывать в процессе УБР: практика свидетельствует, что структура этого риска значительно усложняется.

То же самое относится к репутационному риску (или, иначе, риску потери деловой репутации[46]), причем он оказывается тесно связан с правовым и операционным банковскими рисками. Относительно него сказано, что «репутации банка может быть нанесен ущерб при обслуживании в рамках интернет-банкинга, если оно плохо организовано, не соответствует требованиям рынка или как-то иначе отталкивает клиентов и общественность».

Наконец, в части стратегического риска акцент сделан на том, что «возможно недостаточное осознание руководством рисков, связанных с применением интернет-банкинга, до принятия решения о внедрении этого вида деятельности.