Л.В. Лямин
Применение технологий электронного банкинга: риск-ориентированный подход

   Мнение автора является экспертной точкой зрения и может не совпадать с официальной позицией Банка России

Принятые сокращения

   DFD (Data Flow Diagram) – диаграмма потоков данных
   DMZ (DeMilitarized Zone) – демилитаризованная зона
   FFIEC – Федеральный совет по проверкам финансовых учреждений США ОСС Управление контролера денежного обращения США SLA (Service Level Agreement) соглашение об уровне обслуживания VPN (Virtual Private Network) виртуальная частная сеть
   АПО – аппаратно-программное обеспечение
   АРМ – автоматизированное рабочее место
   АС – автоматизированная система
   АСП – аналог собственноручной подписи
   БАС – банковская автоматизированная система
   БКБН – Базельский комитет по банковскому надзору
   ВА – внутренний аудит
   ВК – внутренний контроль
   ГК РФ – Гражданский кодекс Российской Федерации
   ДБО – дистанционное банковское обслуживание
   ЖЦ – жизненный цикл
   ЗВС – зональная вычислительная сеть
   ЗСК – знай своего клиента
   ИБ – интернет-банкинг
   ИСУ – информационная система управления
   ИТ – информационные технологии
   ЛВС – локальная вычислительная сеть
   НСД – несанкционированный доступ
   ОИБ – обеспечение информационной безопасности
   ОЭСР Организация экономического сотрудничества и развития ПИО программно-информационное обеспечение
   ПОД/ФТ – противодействие отмыванию денег и финансированию терроризма
   ППР – поддержка принятия решений
   ПСИ – приемо-сдаточные испытания
   РМВ – реальный масштаб времени
   СБ – служба безопасности
   СБР – системный банковский риск
   СВК – служба внутреннего контроля
   СОР – система оценивания рисков
   СЭБ – система электронного банкинга
   ТБР – типичный банковский риск
   ТЭБ – технология электронного банкинга
   ТЭО – технико-экономическое обоснование
   УБР – управление банковскими рисками
   УРСИТ – универсальная рейтинговая система для информационных технологий
   ФМ – финансовый мониторинг
   ЭБР – элементарный банковский риск

Введение
Актуальность и проблематика электронного банкинга

   Если вы не знаете как это делать, не делайте этого.
Б. К. С. Айенгар

   Во всем мире кредитные организации сталкиваются с двумя принципиальными проблемами, которые им приходится решать при разработке и реализации своих стратегических и бизнес-планов, а именно:
   – снижение себестоимости банковской деятельности;
   – занятие лидирующих позиций на финансовых рынках.
   Поскольку набор финансовых услуг, предоставляемых кредитными организациями, всегда строго регламентируется национальным банковским законодательством, а операционные нововведения быстро становятся общедоступными, получить конкурентные преимущества за счет варьирования состава, расширения или модернизации банковских услуг оказывается затруднительным. В публикациях, относящихся к вопросам современного финансового обслуживания, часто отмечается, например, что «компании, которые хотят выжить в современном мире, должны стремиться к использованию новых технологий для достижения конкурентных преимуществ»[1]. К тому же в условиях российского банковского законодательства, которое до сих пор остается в стадии становления, такие нововведения могут неожиданно выйти за границы так называемого «правового поля», а это чревато финансовыми потерями не только из-за их возможной нерентабельности (население в большинстве своем либо насторожено относится к нововведениям, либо не обладает необходимой компьютерной грамотностью), но также из-за возрастания уровня правового риска (непосредственного и опосредованного – через другие банковские риски). Поэтому в настоящее время кредитные организации в конкурентной борьбе на рынках предоставления финансовых услуг фактически вынуждены внедрять все новые банковские компьютерные (информационные) технологии, что в условиях функционирования российского банковского сектора практически всегда означает внедрение новых технологий дистанционного банковского обслуживания, или, иначе говоря, технологий «электронного банкинга», – этот англоязычный термин стал общепринятым. В итоге к концу первого десятилетия XXI в. это направление банковской деятельности включило уже около двух десятков вариантов такого предоставления банковских услуг, о чем свидетельствуют результаты первого сплошного анкетирования в этой области, проведенного Банком России[2]. Также к этому времени не осталось сомнений в том, что основной функцией кредитных организаций постепенно становится преимущественно дистанционное финансовое посредничество.
   Следует сразу отметить то, что в собственно банковскую деятельность кредитных организаций в ее операционном понимании электронный банкинг изначально ничего нового не внес. Однако в том, что касается способов и условий осуществления этой деятельности, особенно в части организации реализующих и обеспечивающих ее технологических процессов (внутрибанковских и внешних), их аппаратно-программного обеспечения (как самих кредитных организаций, так и их контрагентов), состава факторов и источников банковских рисков, а следовательно, содержания управления этими рисками, произошли радикальные изменения. Изучению этих изменений и подходам к их учету руководства кредитных организаций при определении им содержания и реализации внутрибанковских процессов (прежде всего управления банковскими рисками), составляющих их процедур и функций, а также взаимосвязей между ними в условиях применения электронного банкинга, посвящена эта книга.
   Одно из главных отличий применения кредитными организациями технологий рассматриваемого типа от традиционных подходов к организации банковского обслуживания клиентов заключается в том, что клиенты, которые переходят к использованию таких технологий, после заключения ими договора банковского счета с кредитной организацией, дополнительного соглашения к этому договору о дистанционном банковском обслуживании и получения средств удаленного доступа к ее информационно-процессинговым ресурсам могут уже не являться в ее головной или дополнительный офисы (филиалы) для того, чтобы получить какую-либо банковскую информацию, или за выполнением требуемых им банковских операций, а работать
   в условиях, так сказать, «домашнего банка». По сути, удаленно взаимодействующие с кредитной организацией клиенты «превращаются» в своего рода разновидности банковских операционистов. Такие возможности для них создают новые банковские автоматизированные системы, реализующие технологии электронного банкинга, предлагая реальным и потенциальным клиентам кредитных организаций нетрадиционные варианты и возможности их внеофисного обслуживания или предоставления банковских услуг.
   Обеспечиваемые при этом пользователям систем электронного банкинга удобства и гибкость получения ими банковских услуг привели к широкому распространению во всем мире таких технологий, как мобильные платежи и мобильный банкинг[3], и, естественно, российский банковский сектор не является исключением. Напротив, за последние несколько лет наблюдается «бум» внедрения технологий такого рода отечественными кредитными организациями, причем развитие их непосредственно следует за достижениями в области технологий компьютерной связи, – так появились, к примеру, системы Wi-Fi-банкинга. Фактически ни одно из подобных технологических и технических достижений современности не остается без внимания банковского сообщества, что не удивительно, учитывая обострение борьбы за клиентуру и рынки сбыта финансовых продуктов. Вместе с тем следует отметить, что большинство кредитных организаций не ограничивается лишь одним каналом дистанционного банковского обслуживания, наращивая «технологические мышцы» и вводя в эксплуатацию одну систему такого рода за другой.
   Типичными примерами, судя по результатам анкетирования Банка России, уже стали кредитные организации, предлагающие по 3 – 4 варианта этих систем для юридических и физических лиц, для клиентов, предпочитающих мобильный банкинг или предоставление банковских услуг через Интернет (так называемый «интернет-банкинг»), для пользователей «наладонных» компьютеров, коммуникаторов или PDA[4] (для которых организуются также специальные web-сайты) и т.п. Использование разнообразных телекоммуникационных сетей и систем вызвало к жизни управляемые через сеть Интернет (далее – Сеть) банкоматы, разнообразные системы мобильного (WAP-, SMS-, GSM-, GPRS-) и Wi-Fi-банкинга, POS-терминалы[5], и процесс этот, судя по всему, не прекратится до тех пор, пока существуют кредитные организации, конкуренция в банковской сфере, да и так называемый «научно-технический прогресс».
   В то же время на мощной волне использования в банковской деятельности достижений в областях компьютерных и телекоммуникационных технологий существенно меняются способы и условия осуществления банковской деятельности. Речь, конечно, не идет о том, что применение таких технологий изменяет сущность банковской деятельности: в конце концов под электронным банкингом понимается не более чем некий новый «транспорт», обеспечивающий доступ клиента к вполне традиционным банковским продуктам и услугам, однако особенности этого транспорта таковы, что меняется характер банковского обслуживания, а отчасти и его содержание. То и другое в свою очередь существенно изменяет состав факторов и источников рисков, связанных с банковской деятельностью, из-за чего происходит смещение профилей риска кредитных организаций.
   Необходимо отметить, что как отечественные, так и некоторые зарубежные кредитные организации, даже крупные, нередко демонстрируют недостаточное осознание этих изменений, придерживаясь своего рода «традиционных подходов» к пониманию содержания банковской деятельности, не замечая при этом, что времена уже наступили другие, а вместе с ними изменилось и само содержание. Этому, по-видимому, способствует и достаточно консервативный характер банковского сообщества в целом, в котором традиционно считается, что для высшего руководства кредитных организаций квалификация в области информационных технологий является лишь факультативной. Кстати сказать, во многих случаях отсутствие или неполнота осознания «нового времени» фактически закреплены в законодательстве, регламентирующем банковскую деятельность, и российское банковское (и в широком смысле финансовое) законодательство в этом смысле также не является исключением.
   В российских условиях наиболее близким примером является, естественно, Федеральный закон от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности». В его содержании отсутствует то, о чем сказано в его названии, а именно – в нем нет определения банковской деятельности как таковой. Вместо этого в ст. 5 перечислены «банковские операции и другие сделки», к которым фактически сведено понятие «деятельности», т.е. изначально неясно, что именно следует понимать под банковской деятельностью. Можно заметить, что с содержательной точки зрения все кредитные организации (или хотя бы те, которые определяются как универсальные) выполняют примерно одни и те же операции и предоставляют сходные банковские услуги, однако способы осуществления и результаты их банковской деятельности могут оказаться принципиально различными (вплоть до отзыва лицензии на это осуществление). Таким образом, дело заключается не столько в операциях, сколько в способах и условиях их совершения, которые определяет руководство кредитной организации, и применение технологий электронного банкинга это подчеркивает (в основном именно за счет смещения профилей риска кредитных организаций).
   Указанное недоразумение, на первый взгляд не очень важное, на практике приводило и приводит к возникновению немалого количества новых источников банковских рисков, которые традиционно с этой деятельностью не связывались, – в сфере технологий электронного банкинга это проявляется наиболее наглядно. Внедрение систем электронного банкинга всегда приводит к такому не всегда заметному смещению профилей рисков кредитных организаций, к чему многие из них на практике оказываются не готовы. Ситуация усугубляется еще и тем, что зачастую банковская деятельность (в широком смысле, как будет показано ниже) оказывается зависимой от сторонних компаний – провайдеров, о компьютерных и телекоммуникационных системах которых специалисты кредитных организаций могут не иметь необходимых для их надежного функционирования сведений. Следствием этого становятся крупные потери кредитных организаций и их клиентов из-за компьютерных мошенничеств и хищений, сетевых и вирусных атак, ошибок и инцидентов информационной безопасности, нарушений законодательства и других негативных явлений. Кроме того, коль скоро банковская деятельность во многом уходит в «виртуальное киберпространство», могут обостриться и все аналогичные проблемы с инсайдерами кредитной организации, которые лучше всех информированы об особенностях функционирования ее автоматизированных систем. Поэтому разработка подходов к обеспечению надежной банковской деятельности в условиях применения кредитными организациями технологий электронного банкинга стала весьма актуальной, о чем также говорит эта книга.
   Фактически системы электронного банкинга появились в российском банковском секторе довольно давно, еще в начале 90-х гг. прошлого века, только назывались они тогда системами «Банк – Клиент» и не имели разновидностей[6]. Практически во всех случаях это были системы с так называемым «толстым клиентом», под которым понималось некое автоматизированное рабочее место с установленным на нем специализированным программным обеспечением для доступа к информационно-процессинговым ресурсам кредитной организации, служебными базами данных, средствами криптозащиты трафика, ограничения физического и логического доступа и т.д. Вопросы относительно банковских рисков, связанных с такими системами, как правило, не поднимались, поскольку все рисковые компоненты оставались на стороне клиента (естественно, юридического лица), и вообще в то время эти темы не обсуждались, потому что случаев несанкционированного доступа к упомянутым ресурсам было довольно мало.
   За почти два прошедших десятилетия ситуация изменилась кардинальным образом и прежде всего потому, что акценты в финансовом обслуживании стали смещаться в сторону клиентов – физических лиц. Вследствие этого актуальны стали уже системы дистанционного банковского обслуживания с так называемым «тонким клиентом» – в предельном варианте, в случае банковского обслуживания через Интернет, – это обычный интернет-браузер типа Microsoft Explorer, Netscape Navigator, Mozilla, Opera и пр., через который можно получить доступ к диалоговым средствам интерфейса с процессингом кредитной организации. Одновременно возникли факторы риска, связанные с трафиком через не только локальные, но также зональные и глобальные сетевые структуры. Однако их наличие не остановило кредитные организации, стремящиеся за счет увеличения масштабов и количества вариантов дистанционного предоставления банковских услуг охватить как можно большее число клиентов, ценящих оперативность и удобство банковского обслуживания.
   Как показывает изучение предложений компаний – разработчиков банковского программного обеспечения, в настоящее время в области удаленного автоматизированного (компьютеризованного) банковского обслуживания наблюдаются следующие четыре тенденции:
   1) агрегация требований клиентуры кредитных организаций, их самих и корпоративных структур;
   2) сочетание возможностей корпоративного и розничного банковского обслуживания;
   3) создание корпоративных систем и модульная технология «Plug-and-Play»;
   4) комбинация в системах дистанционного банковского обслуживания возможностей «толстого» и «тонкого» клиента.
   Вместе с тем предлагаются варианты централизованного, распределенного и комбинированного построения систем дистанционного банковского обслуживания на основе локальных и зональных вычислительных сетей.
   Можно отметить, что уже несколько лет российский банковский сектор основной акцент делает на внедрении и развитии многоканального дистанционного банковского обслуживания с интеграцией разнородных информационных технологий, при этом стараясь повысить эффективность способов и средств выполнения банковских операций и сделок, а также снизить уровни банковских рисков. Последнее, к сожалению, удается далеко не всегда, поскольку встречается немало примеров внедрения кредитными организациями недостаточно апробированных и защищенных компьютерных технологий (в широком смысле), несоответствия условий, в которых применяются технологии электронного банкинга, принципам обеспечения надежной банковской деятельности. Разного рода «деклассированные элементы» отечественного социума также быстро обучаются использованию систем электронного банкинга в противоправных целях, из-за чего достаточно серьезные финансовые потери несут и сами кредитные организации, и их клиенты. За последние три года число таких случаев выросло в несколько раз, так что суммарные финансовые потери российских кредитных организаций (и их клиентов) оцениваются уже десятками и сотнями миллионов рублей.
   Такие потери свидетельствуют как о недопустимо высоких уровнях банковских рисков, принимаемых на себя кредитными организациями в процессе развития и увеличения масштабов дистанционного банковского обслуживания, так и об «эффективной» реализации источников этих рисков в отсутствие пруденциальных условий применения новых банковских информационных технологий. Это в свою очередь обусловлено наличием значительного количества недостатков в организации их применения в целом и использования конкретных систем электронного банкинга, причем как самими кредитными организациями, так и их клиентами. Ответственность за это лежит на руководстве и персонале кредитных организаций (а не на клиентах, как часто считается), поскольку и банковские автоматизированные системы, и клиенты, и контрагенты относятся к их так называемым «зонам ответственности». На самом деле ничего сверхъестественного в смысле организации надежных условий использования любых технологий дистанционного банковского обслуживания нет. Дело вовсе не в технологиях как таковых, или в банковских автоматизированных системах, или их локальных либо зональных вычислительных сетях и т.п., а в том, в каких целях и как именно все эти системы применяются. Определение же условий применения этих средств является прерогативой в первую очередь руководства высокотехнологичных кредитных организации, их исполнительных органов и менеджмента на разных уровнях внутрибанковской иерархии, вследствие чего в подавляющем большинстве случаев проблемы, возникающие у кредитных организаций в рассматриваемой предметной области, непосредственно увязываются с такими недостатками в их корпоративном управлении, что оно и корпоративным-то может считаться только с серьезной натяжкой.
   Происходит это потому, что специфика новых банковских информационных технологий и их значимость для современной кредитной организации и ее клиентов недостаточно оцениваются и осознаются ее руководителями (исполнительными органами). При этом специфика применения соответствующих банковских автоматизированных систем должна в оптимальном варианте прямо отражаться в специальных условиях, в которых они применяются и которые организуются исходя из требований снижения влияния сопутствующих их особенностям угроз надежной банковской деятельности, т.е. уровней рисков. По многочисленным наблюдениям и публикациям в средствах массовой информации управление банковскими рисками в отечественных кредитных организациях оставляло и до сих пор оставляет желать лучшего, и особенно это относится к управлению такими рисками, уровни которых непосредственно зависят от, так сказать, «степени пруденциальности» условий применения новых банковских информационных технологий. Как ни странно, многочисленные случаи реализации этих рисков именно по технологическим и техническим причинам редко приводят к улучшению корпоративного управления.
   Очевидно, что традиционная интерпретация банковской деятельности как только лишь совершения банковских операций не только устарела, но принципиально неприемлема, т.е. вместе с внедрением кредитными организациями новых банковских информационных технологий, видов и способов предоставления банковских услуг требуется «новое мышление» их руководства и осознание влияния изменения способов и условий банковской деятельности на ее содержание и характеристики. Специфическими особенностями современного банковского обслуживания стали именно способы дистанционного информационного взаимодействия между кредитными организациями и их клиентами в информационном контуре банковской деятельности, который создается новыми технологиями. Это новое явление и новое понятие, вошедшие в банковскую деятельность, и одним из важнейших следствий этого стала необходимость изменения подходов к корпоративному управлению в кредитных организациях, а именно адаптации его к тем технологиям и системам электронного банкинга, которые внедряют эти организации, – тоже как следствие корпоративных решений о переходе к дистанционному банковскому обслуживанию. Вместе с тем принципиально важной становится и оценка обеспеченности кредитной организации ресурсами, необходимыми для надежного банковского обслуживания в этом контуре: оборудованием, персоналом, квалификацией и т.д.
   В первую очередь важно осознание высшими руководителями и менеджерами, входящими в исполнительные органы кредитных организаций, того, что реализация всех технологий электронного банкинга базируется на распределенных компьютерных системах. Это в свою очередь приводит к тому, что зоны ответственности кредитной организации существенно расширяются и даже такие традиционные из них, как клиентская или внутрисистемная, радикально видоизменяются (в плане содержания указанной ответственности). Современные универсальные протоколы сетевого взаимодействия и организация телекоммуникационных сетей по так называемому «принципу открытых систем» приводят к возникновению новых факторов, обусловливающих возникновение нетипичных (и непривычных) источников компонентов банковских рисков. В настоящее время нет необходимости в пропагандировании мультикомпонентности, комплексного характерa типичных банковских рисков[7], однако в отечественных кредитных организациях традиционно принято уделять содержанию процесса управления банковскими рисками лишь формальное внимание, что в условиях применения технологий электронного банкинга означает гарантированное наличие непредвиденных и некомпенсируемых рисковых компонентов.
   Поэтому, исходя из значимости новых факторов и источников банковских рисков, возникающих в указанных условиях, основная часть этой книги начинается именно с рассмотрения явления информационного контура банковской деятельности при электронном банкинге и обусловленных этим факторов риска системного характера, наличие которых целесообразно учитывать в интересах обеспечения надежности этой деятельности. Изложение ведется во многом с использованием материалов Базельского комитета по банковскому надзору и органов банковского регулирования и надзора США, поскольку они наиболее полно характеризуют рисковую обстановку в условиях применения технологий электронного банкинга. С учетом условий российского банковского сектора, в котором действует ряд специфических ограничений, выделяются и анализируются с аналогичных позиций лишь несколько типичных банковских рисков. Главный проблемный вопрос для кредитных организаций при принятии решений относительно применения тех или иных технологий заключается в убеждении, что получаемые от этого выгоды заведомо будут больше, чем возможные потери из-за затрат на внедрение и эксплуатацию банковских автоматизированных систем, реализующих такие технологии, и на компенсацию реализации компонентов банковских рисков, связанных с ведением бизнеса в «киберпространстве».