Речь не случайно идет об использовании риск-ориентированного подхода при анализе проблем, сопутствующих внедрению технологий электронного банкинга. Необходимо подчеркнуть, что в современных российских условиях с почти полным отсутствием законодательных и других нормативных актов, относящихся к области так называемых «электронных финансов» или, как иногда говорят, «предоставления финансовых услуг в электронной форме», пустота этого сегмента правового поля оказывает крайне негативное влияние на обеспечение надежности банковской деятельности, практически полностью зависящей от функционирования банковских автоматизированных систем и условий их использования прежде всего из-за отсутствия соответствующих точно определенных и установленных ориентиров. Из-за этого и наибольшая часть практических решений оказывается прерогативой вовсе не высшего руководства кредитных организаций, а менеджмента среднего звена, а то и просто персонала исполнительского уровня (что будет показано при рассмотрении процессного подхода). В рамках же риск-ориентированного подхода акцент делается на выявлении и устранении или, как минимум, ослаблении потенциального влияния источников компонентов банковских рисков (или хотя бы его хеджировании), а значит, и повышении этой надежности в корпоративном плане.
   Риск-ориентированный подход весьма эффективен именно в приложении к анализу информационного контура банковской деятельности и вообще автоматизации внутрибанковских процессов в силу своей универсальности: он служит защите кредитных организаций и их клиентов от любых угроз их интересам или негативных явлений независимо от степени развития законодательной базы банковской деятельности. Очевидно, что все нюансы технологического и технического обеспечения этой деятельности никакими нормативными правовыми актами предусмотреть невозможно в силу того, что оно изначально не может регламентироваться в соответствии с действующим банковским законодательством. Из-за этого оказывается невозможно зафиксировать упомянутые ориентиры ни на федеральном, ни на отраслевом или ведомственном уровне. Впрочем, зарубежный опыт банковского регулирования и надзора показывает, что в этом нет необходимости (если, конечно, имеется развитая законодательная база, содержащая описания как порядка, так и характеристик банковской деятельности). Но тогда единственным вариантом содействия обеспечению надежности высокотехнологичных кредитных организаций остается разработка рекомендаций, основанных на здравом смысле, с указанием тех недостатков (не нарушений!), о которых лучше знать заранее и которые целесообразно устранять (лучше же – не допускать их появления), чтобы надежность банковской деятельности не снижалась независимо от того, какие именно автоматизированные системы внедряет кредитная организация. Здесь имеется в виду, что риск-ориентированный подход вполне был бы пригоден даже в условиях полного отсутствия (если можно такое представить) регламентации банковской деятельности со стороны государства (из состава банковских рисков исчез бы лишь правовой риск) для выработки рекомендаций по повышению ее технологической надежности.
   Далее акцент делается на уже достаточно широко известном у нас так называемом процессном подходе, использование которого оказывается весьма желательным именно при переходе кредитной организации к дистанционному банковскому обслуживанию и его дальнейшем развитии. Как правило, такие организации, внедрившие и апробировавшие один из вариантов электронного банкинга, на достигнутом не останавливаются (к этому их подталкивает и конкуренция) и продолжают развивать это направление банковской деятельности, расширяя спектр предоставляемых клиентам сервисов и внедряя новые банковские информационные технологии и автоматизированные системы. Вследствие этого, помимо жизненного цикла таких систем, оказывается целесообразным говорить и о жизненном цикле внутрибанковских процессов. К сожалению, как свидетельствует опыт изучения деятельности российских кредитных организаций, такой подход все еще остается делом будущего (хотя автор обоснованно является его убежденным сторонником).
   В свою очередь реализация такого подхода в новых условиях банковской деятельности, сущность которых определяется теми информационными технологиями, которые внедряет кредитная организация, невозможна без пересмотра организации и содержания прежде всего общих внутрибанковских процессов управления и контроля, которые в таких организациях приобретают заметную специфику. Особенности корпоративного управления в условиях применения технологий электронного банкинга заключаются в его четкой ориентации, во-первых, на учет особенностей самих технологий такого рода, реализующих их автоматизированных систем и информационного контура банковской деятельности, во-вторых, на обеспечение соответствия их применения принципам или стандартам «пруденциальной» банковской деятельности (хотя в российском банковском секторе подобная терминология пока не является общепринятой) и, в-третьих, на своевременную и адекватную адаптацию внутрибанковских процессов при внедрении и развитии дистанционного банковского обслуживания. Принципиально важным здесь является то, что, какими бы ни были технологические нововведения в обеспечении банковской деятельности, они не должны негативно влиять на выполнение кредитными организациями своих обязательств перед клиентами (имея в виду защиту их интересов) и контролирующими банковскую деятельность государственными органами. Кроме того, в современных условиях повышается важность обеспечения предоставления последним полной, своевременной и адекватной информации о банковской деятельности в целом и об операциях, совершаемых кредитными организациями по ордерам удаленных клиентов.
   Отдельная глава посвящена специфической проблематике управления web-отношениями кредитной организации – актуальная тема в условиях использования представительств в Сети подавляющим большинством отечественных кредитных организаций. Несмотря на то что, к примеру, технология интернет-банкинга используется в российском банковском секторе уже достаточно давно (с 1997 – 1998 гг.), вопросам риск-ориентированного анализа отношений, возникающих в Сети между разными агентами сетевого и информационного взаимодействия, внимания в литературе до последнего времени не уделялось. Однако исследования, проводимые зарубежными органами банковского регулирования и надзора, свидетельствуют о наличии ряда достаточно «тонких» аспектов такого взаимодействия, за которыми в отсутствие их учета также скрываются источники компонентов банковских рисков, так как само наличие web-отношений оказывается своеобразным фактором риска как для кредитной организации, так и для ее клиентов. Обусловлено это преимущественно спецификой проявления виртуальных эффектов Сети как открытой информационной системы.
   Главное же заключается в осознании необходимости модернизации ряда действующих внутрибанковских процессов, имеющих непосредственное отношение к дистанционному банковскому обслуживанию с учетом особенностей упоминавшихся новых условий банковской деятельности, а также формирования новых процессов (например, управления отношениями с провайдерами, web-отношениями и т.п.). Такое осознание логично связывается с разработкой своего рода новой идеологии управления и контроля, которая инициируется советом директоров кредитной организации, а затем реализуется ее исполнительными органами и менеджерами разных уровней. В связи с этим в изложении введено понятие внутрибанковского «мета-процесса», управляющего циклической адаптацией отдельных процессов, которая сама определяется темпом нововведений по направлениям применения компьютерных информационных технологий. Отсутствие соответствующего «руководящего подхода» к внедрению новых средств компьютеризации банковской деятельности вместо ожидаемых выгод может стать причиной непредсказуемого возникновения и реализации источников компонентов банковских рисков. В ситуации, когда банковская деятельность сама стала во многом информационной дисциплиной, такие компоненты могут оказаться весьма существенными и для кредитной организации, и для ее клиентов. Поэтому наиболее важным аспектом адаптации оказывается обеспечение сохранения управляемости и контролируемости банковской деятельности, переходящей при электронном банкинге в виртуальное пространство.
   Содержание этой книги опирается на материалы зарубежных и международных органов банковского регулирования и надзора (в том числе представленных на ряде международных семинаров по тематике электронного банкинга), мнения зарубежных специалистов по вопросам обеспечения надежности высокотехнологичной банковской деятельности, опыт изучения организации применения технологий электронного банкинга отечественными кредитными организациями и зарубежными коммерческими банками, а также их дочерними банками, работающими на территории России. Несмотря на то что кредитных организаций, полностью свободных от недостатков, пока не выявлено (это не означает, что их не существует, – просто любой человеческий опыт имеет вполне понятные ограничения!), что и неудивительно, учитывая сложность и относительную новизну рассматриваемой тематики, все-таки результаты изучения зарубежного опыта свидетельствуют о желательности следования ему в отечественном банковском секторе, поскольку даже в отсутствие должным образом развитого финансового и, в частности, банковского законодательства использование так называемой «лучшей практики»[8] способно существенно снизить уровень ряда типичных банковских рисков (имея в виду те риски, уровни которых прямо зависят от банковских информационных технологий и реализующих их внутрибанковских процессов, процедур и автоматизированных систем).
   Базельский комитет по банковскому надзору уделяет в ряде своих публикаций серьезное внимание вопросам управления рисками в условиях применения технологий электронного банкинга и корпоративному управлению в кредитных организациях. Следование его рекомендациям позволяет повысить надежность банковской деятельности в целом за счет снижения уровней рисков, которым подвергаются кредитные организации и их клиенты, а значит, обеспечить лучшую защиту их интересов.

Глава 1
Понятие и специфика технологий электронного банкинга

   Любая достаточно развитая технология неотличима от магии.
Артур Кларк

   Независимо от того, какого рода система дистанционного банковского обслуживания (ДБО) внедряется кредитной организацией, такая система фактически становится для нее своеобразными «виртуальными воротами», которые открывают доступ из «киберпространства» локального, зонального или глобального сетевого взаимодействия к информационно-процессинговым ресурсам и информационным а по сути, – к финансовым активам этой организации. Надежность банковской деятельности, которая осуществляется через такое пространство, непосредственно зависит от того, насколько организация способна управлять происходящими в нем и значимыми для нее (и ее клиентов) процессами и контролировать их течение. Очевидно, что специфика такой деятельности изначально находится в противоречии между обеспечением доступа к упомянутым ресурсам только и исключительно для легитимных пользователей (официально зарегистрированных клиентов, операторов, операционистов и т.п.), действующих в пределах точно установленных для них прав и полномочий, и технологиями, предполагающими реализацию принципов открытых систем и универсальных протоколов сетевого взаимодействия, составляющих базис большинства вариантов ДБО. Если руководство кредитной организации, внедряющей систему электронного банкинга (СЭБ), недостаточно полно представляет себе особенности проблематики ДБО с точки зрения вариативности состава компонентов типичных банковских рисков, принимаемых на себя кредитной организацией, то уровни этих рисков будут заведомо (и неоправданно) повышаться, а сами эти компоненты – реализоваться, что всегда приводит к финансовым потерям.
   До настоящего времени в российском банковском секторе внедрение и применение банковских информационных технологий в целом не считается чем-то значимым с точки зрения изменения характера банковской деятельности. В подавляющем большинстве кредитных организаций этот процесс не предваряется и не сопровождается адекватным анализом состава сопутствующих таким технологиям компонентов банковских рисков. Из-за этого как сами кредитные организации, так и их клиенты оказываются подвержены новым специфическим угрозам надежности банковской деятельности. С этими угрозами кредитные организации далеко не всегда справляются, о чем свидетельствует, к сожалению, уже достаточно обширная статистика финансовых потерь этих организаций и их клиентов. При этом собственно технологический аспект оказывается в значительной степени «вторичным»: к примеру, не столь важно, каким именно путем похищаются финансовые средства – с помощью банкоматного мошенничества, через систему интернет-банкинга, за счет применения какого-то варианта фишинга, фарминга или вишинга и т.п., – важно то, что деньги исчезают именно в информационном контуре ДБО по причинам недостаточно полного учета новых факторов источников типичных банковских рисков и управления ими в кредитной организации.
   Вследствие этого рассматриваемая ниже классификация технологий или вариантов ДБО может варьироваться без ущерба для общности рассмотрения этой предметной области. Она введена в основном для того, чтобы можно было выделить те особенности каналов и сред информационного взаимодействия между кредитными организациями и их клиентами, которые желательно учитывать в случаях комплексного внедрения соответствующих систем ДБО. В настоящее время компании, разрабатывающие системы такого рода, или кредитные организации, осуществляющие их самостоятельные разработки, все больше стремятся к многоканальности предоставления банковских услуг, объединяющей его варианты. Вместе с тем это, как правило, не приводит к организации комплексного анализа всей совокупности источников банковских рисков, сопутствующих каждому из каналов ДБО, а следовательно, новые источники рисков остаются «скрытыми» для кредитной организации, так что воздействие на них (т.е. собственно управление рисками) начинается нередко лишь тогда, когда они реализуются в виде финансового ущерба.

1.1. Классификация технологий электронного банкинга

   На сегодняшний день единой, устоявшейся классификации технологий электронного банкинга еще не существует. Поскольку любые технологии такого рода используются для обеспечения удаленного информационного взаимодействия между кредитными организациями и их клиентами, с наиболее общей точки зрения можно полагать, что все они в совокупности охватываются одним общим понятием систем типа (или класса) «Банк – Клиент». В то же время исторически сложившиеся этапы развития способов и средств этого взаимодействия привели к тому, что под системами «Банк – Клиент» до настоящего времени понимаются преимущественно такие программно-технические комплексы, для функционирования которых на стороне клиента необходимо создание специализированного автоматизированного рабочего места (АРМ) на базе персонального компьютера, установка на нем специализированного программно-информационного обеспечения ДБО, задействование тех или иных выделенных каналов связи (на основе кабельных или релейных линий), а также введение на стороне кредитной организации шлюзов для передачи потоков данных (модемных пулов, маршрутизаторов, коммутаторов и т.п.).
   Такие достаточно «тяжеловесные» и дорогостоящие системы получили условное название систем «с толстым клиентом»[9]. Эти системы характеризуются достаточно обширными функциональными возможностями в части ограничения прав доступа к информационно-процессинговым ресурсам клиента и кредитной организации, использования служебных баз данных и баз нормативно-справочной информации, криптозащиты сетевого трафика, а также сохранения так называемой «сеансовой информации», сопровождающей двусторонний информационный обмен (что принципиально важно для обеспечения юридической силы так называемых «электронных документов», парирования случаев «отказа от операций», разрешения спорных ситуаций и т.п.). За все эти возможности приходится, естественно, немало платить, что могут себе позволить в основном юридические лица.
   В отличие от этих систем для обслуживания физических лиц гораздо удобнее и дешевле системы с так называемым «тонким клиентом», использование которых не связано с необходимостью установки на АРМ клиента специального программно-информационного обеспечения, да и само стационарное АРМ на его стороне зачастую не требуется. В наиболее «тонком» случае могут использоваться обычный браузер или система меню, что типично для технологий мобильного и интернет-банкинга. Однако в этих случаях осложняется решение всех перечисленных выше вопросов с точки зрения функциональных возможностей той или иной технологии электронного банкинга (ТЭБ) и реализующей эту технологию СЭБ. Эта книга преимущественно посвящена тому, чем приходится «платить» кредитным организациям и их клиентам за удобства оперативного доступа к информационно-процессинговым ресурсам, обеспечивающим банковскую деятельность.
   Вместе с тем каждый из способов ДБО и каждая используемая для его реализации банковская автоматизированная система (БАС) могут иметь ряд принципиальных отличий (прежде всего в части каналов связи и среды взаимодействия), равно как и множество особенностей, из-за чего объединение их в один класс существенно затрудняет анализ состава компонентов банковских рисков, угроз банковской деятельности, лежащих в их основе, и причин возникновения этих угроз. Для такого анализа наиболее удобна простая классификационная схема, используемая специалистами Департамента банковского надзора Банка Германии (рис. 1.1)[10]:
   Рис. 1.1. Укрупненная классификация вариантов электронного банкинга
 
   На этой схеме отсутствует деление отдельных «ветвей», учитывающее специфические детали, свойственные различным технологиям электронного банкинга, поскольку для последующего изложения это не принципиально, к тому же такие варианты ДБО, как использование, скажем, систем Wi-Fi, в отечественной банковской практике еще не стали распространенными. Кроме того, не имеет принципиального значения и конкретный вариант ДБО, выбираемый кредитной организацией: важно лишь то, что «если компания не следует тенденциям изменяющихся рыночных, финансовых и технологических условий, то она недолго останется в бизнесе»[11]. В современном банковском бизнесе кредитные организации, если они не хотят потерять конкурентные преимущества, по существу, «вынуждены» переходить к дистанционному предоставлению банковских услуг, а следовательно, «радикально перестраивать» организацию своей банковской деятельности. В этой ситуации принципиально важным становится то, что речь идет именно о деятельности кредитной организации в целом, а не только о выполнении «банковских операций» и «других сделок».
   Необходимо отметить также, что адекватного понимания содержания электронного банкинга до настоящего времени тоже еще не сложилось. Об этом свидетельствуют многие документы, разработанные зарубежными органами банковского регулирования и надзора, в которых приводятся определения содержания этого явления и формируется рабочий понятийный аппарат. Если попробовать сформулировать своего рода «базовое» определение электронного банкинга по таким материалам[12], то оно будет выглядеть следующим образом: «обеспечение возможностей для клиентов кредитных организаций получать удаленный доступ к своим банковским счетам через информационно-телекоммуникационные системы и, как минимум, осуществлять переводы финансовых средств между ними».
   В этом определении можно увидеть своего рода «операционный» акцент, появление которого объясняется исторически сформировавшимся «примитивным» подходом к интерпретации содержания банковской деятельности и который существенно сужает подмножество факторов, обусловливающих возникновение новых источников компонентов банковских рисков, подлежащих учету и анализу в кредитной организации при переходе ее к ДБО. На самом деле при выборе той или иной ТЭБ руководству, исполнительным органам и специалистам кредитной организации всегда следовало бы анализировать особенности этой технологии с целью выявления и описания сопутствующих ей факторов риска, а также оценивать свои возможности в части управления конкретной ТЭБ и контроля ее использования с учетом специфики формируемого ею так называемого «информационного контура банковской деятельности» – нового явления в сфере банковской деятельности.
   Функционирование современной кредитной организации отличается в первую очередь тем, что традиционный подход к анализу содержания банковской деятельности оказывается принципиально непригодным: он приводит к тому, что большое количество новых, нетипичных для традиционной банковской деятельности источников компонентов банковских рисков упускается из вида со всеми вытекающими отсюда негативными последствиями для кредитных организаций и их клиентов. Те и другие в такой ситуации оказываются незащищенными от новых угроз, которые вполне можно парировать при пруденциальной[13] организации этой деятельности в новых технологических условиях. Помимо этого, конкурентные условия могут способствовать и тому, что окажутся внедренными недостаточно надежные, проверенные и «отработанные» технологии электронного банкинга и реализующие их банковские автоматизированные системы из-за того, что сложность таких систем не согласуется с интервалом времени, выделяемым на их освоение и запуск в эксплуатацию. Что уж говорить о том, что дополнительной и непростой особенностью организации применения практически любой ТЭБ оказывается необходимость учета недостаточной квалификации клиентов кредитной организации в областях компьютерных и телекоммуникационных технологий.
   В итоге руководству кредитной организации, принимая решение о переходе к ДБО, необходимо заранее определить круг потенциальных проблем, с которыми может быть связано такое обслуживание, и новых вопросов, которые придется решать в целях обеспечения и поддержания надежности банковской деятельности (в широком смысле имея в виду выполнение всей совокупности принимаемых на себя этой организацией обязательств как перед клиентами, так и перед теми или иными контролирующими органами). Поэтому целесообразно добиваться наиболее полного охвата предметной и одновременно проблемной области новых способов и условий осуществления банковской деятельности. Прежде всего логично достичь полного осознания модификации ролевой функции кредитной организации, внедряющей ТЭБ, предложив, к примеру, такое определение электронного банкинга: «совокупность всех организационно-технических мероприятий, реализуемых кредитной организацией с помощью технологий дистанционного банковского обслуживания для обслуживания своих клиентов (реальных и потенциальных) при выполнении этой организацией функций дистанционного финансового посредника».