Интересно отметить, что на семинаре изначально были декларированы 3 уровня агрегированного риска: высокий, умеренный и низкий. Однако, как видно из представленной таблицы, реально говорится не о трех уровнях риска, а о пяти (соответствующие ячейки соединены в таблице отрезками линий)¹. В связи с данной таблицей оценивается еще и так называемый «тренд риска», однако ввиду ограниченного объема статьи он здесь комментироваться не будет, можно сказать, что это прогноз возможной тенденции изме­нения уровня агрегированного риска на следующий надзорный период для банка, который может прини­мать 3 значения: «возрастание», «снижение» и «ста­бильность». В итоге формируется некая «Таблица рейтинга банковских рисков», пример которой пока­зан ниже:

Не менее интересно то, что когда в дискуссии на семинаре внимание американских специалистов было обращено на очевидную аналогию между пятью за­данными коэффициентами или градациями в системе САМЕЬЗ и фактическими пятью оценочными уров­нями агрегированного риска, это явилось для них са­мих неожиданностью (!). По-видимому, следующий аналитический шаг не предполагался. Из этого, по мнению автора, следует, что практически применяе­мая американскими специалистами система риск-фокусированного надзора до настоящего времени находится фактически в процессе разработки, и ее нельзя считать законченной, тем более что ее «стыков­ка» с системой 1Ж51Т осуществлена лишь недавно.

Из общей совокупности банковских рисков, учи­тываемых УКДО в рамках ИБ, основное внимание уделяется стратегическому, репутационному, опера­ционному и правовому рискам. Считается, что стра­тегический риск (точнее, состав его компонентов) обусловлен неправильным планированием и непол­ным учетом особенностей интернет-обслуживания при выборе и реализации стратегических направлений банковского бизнеса. Поэтому руководству банка не­обходимо организовывать работу таким образом, что­бы гарантировалась интеграция стратегических целей и бизнес-планов, в банке достигалось полное понима­ние рисков, ассоциируемых с теми или иными бан­ковскими технологиями, а также обеспечивался пол­ноценный функциональный контроль.

Для снижения вероятности реализации репута-ционного риска руководству банков рекомендуется обеспечить наличие политики и внутрибанковских процедур в письменном виде, а также доведение со­держания этих документов до персонала банка. Необ­ходимо иметь средства контроля безопасности (в ши­роком смысле) и план действий на случай непредви­денных обстоятельств. Кроме того, следует обеспе­чить регулярное повышение квалификации и пере­подготовку персонала, особенно ответственных ис­полнителей, связанных с поддержанием и сопровож­дением технологии ИБ. Что касается самого руково­дства, то оно должно организовать внутрибанковский мониторинг всех перечисленных процессов и гаран­тировать, что все, что должно быть сделано в части обеспечения надежности ИБ, действительно реализо­вано. Принципиальной основой репутационного рис­ка является несоответствие работы банка ожиданиям клиентуры. В оптимальном случае банк располагает специальной программой управления риском репута­ции. Что касается правового риска (иногда называе­мого также риском несоответствия), то, как было ска­зано, «важно понимать, каким образом можно интер­претировать действующие законы и правила в прило­жении к виртуальному миру». Это касается допусти­мости тех или иных услуг, процедур дистанционного открытия счетов, авторизации в электронной форме, письменных соглашений, законодательства о защите прав потребителя, применимости тех или иных зако­нов федерального и регионального уровней. Все эти вопросы, равно как и документирование операций ИБ, должны рассматриваться руководством банка с уче­том возможных изменений в банковском законода­тельстве. По результатам такого рассмотрения необ­ходимо вносить соответствующие коррективы в при­нятые в банке политику и процедуры, консультируясь при необходимости с органом банковского надзора. Наконец, рассмотрение операционного риска связано с учетом наибольшего числа факторов риска. Прежде всего это возможные аварии и сбои в работе оборудо­вания, как самого банка, так и его провайдеров, вслед­ствие чего банк должен тесно взаимодействовать с организациями и фирмами, от которых так или иначе зависит его работа, с тем чтобы можно было гарантиро­вать минимизацию своего рода «наведенных рисков».

Наибольшее внимание надо уделять процедурам сопровождения внутрибанковских систем, обеспече­ния их защищенности и восстановления их рабо­тоспособности в случае форс-мажорных обстоя­тельств. Насколько серьезен подход УКДО, можно понять с учетом одного из нововведений в его реко­мендации после террористической атаки на США 11 сентября 2001 года: банк должен располагать резерв­ными процессинговыми мощностями и хранилищами данных, расположенными не менее чем за 25 миль от основного здания (головного офиса). В общем случае необходимо четко понимать, что управление рисками и распределение ответственности за это непосредст­венно зависит от конфигурации компьютерных сис­тем, используемых банком. Также банк должен рас­полагать штатом специалистов, соответствующим сложности этих систем. Вообще, поскольку системы ЭБ, в том числе ИБ, образованы множеством компонентов, требуется организация многоуровневого кон­троля, за что также отвечает руководство банка.

В завершение необходимо отдельно рассмотреть проблемы, возникающие при использовании коммерческими банками услуг, предоставляемых третьими сторонами. Специалистами УКДО был описан инте­ресный подход, ориентированный на снижение уров­ней компонентов банковских рисков, связанных с аутсорсингом (в разных вариантах). Отношения меж­ду органами банковского надзора и провайдерами услуг для коммерческих банков (в широком смысле) регулируются так называемым «Законом о банков­ских обслуживающих компаниях». В этом законе ска­зано, что таковой считается любая корпорация или компания с ограниченной ответственностью, органи­зованная для предоставления видов обслуживания, определяемых данным документом, все акции кото­рой принадлежат одному или более застрахованным банкам. Таким организациям разрешается осуществ­ление следующих видов обслуживания депозитных учреждений: обработка данных по депозитам и чекам, балансам, отчетам, выполнение расчетов (включая данные по кредитам и процентным начислениям), ведение бухгалтерских записей, учет, статистическая обработка данных и выполнение тому подобных функций, свойственных депозитным учреждениям. В то же время, таким компаниям запрещено принимать депозиты, кроме того, существуют географические и другие ограничения, налагаемые Советом директоров ФРС. Вместе с тем (и это представляется важной осо­бенностью), органы банковского регулирования и надзора наделяются полномочиями по регулированию деятельности и проведению проверок сервисных ком­паний на том основании, что деятельность коммерче­ских банков может непосредственно зависеть от этих компаний, а значительное количество источников

компонентов банковских рисков, как подчеркивалось на семинаре, связано как раз с провайдерами тех или иных услуг для банков. Мало того, банкам вменяется в обязанность информировать орган банковского надзора о каждом из провайдеров, к услугам которого прибегает банк, не позднее чем через 30 дней после заключения договора с таким провайдером или после реального начала обслуживания (в зависимости от того, что имело место раньше). Нарушение этих тре­бований для банка чревато серьезными санкциями со стороны надзорного органа вплоть до судебного пре­следования. Впрочем, хорошим дополнением к зако­нодательной базе служат подзаконные акты УКДО, в которых, в частности, постулируется, что рисковые составляющие, концентрирующиеся у провайдеров услуг для конкретного банка, относятся к операцион­ному, правовому и репутационному рискам, а следо­вательно, в самих банках должны существовать про­граммы мониторинга деятельности и состояния про­вайдеров требуемых им услуг и видов обслуживания. Кроме того, сами коммерческие банки фактически обязываются осуществлять контроль над функциони­рованием и финансовым состоянием своих провайде­ров. Ответственность же за качество аутсорсинга в любом случае несет руководство банка, пользующе­гося услугами третьих сторон.

К сожалению, в рамках одной публикации слож­но описать разнообразие мнений по организации и содержанию риск-фокусированного надзора в области Интернет-банкинга, распределения полномочий меж­ду органами финансового контроля, организационных решений, принятых в разных странах, и т.п. Тем не менее, автор надеется, что представленное изложение вопросов, рассматривавшихся на международном се­минаре, окажется полезным и интересным читателям журнала.