Все об Интернет-банкинге

Одной из главных характеристик временного мира является проникновение информаци­онных технологий во все сферы жизни общества. По данным Между­народной организации интернет-статистики, на 30 июня 2010 г. насчитывалось около 2 млрд поль­зователей сети Интернет - порядка 28,7% населения земного шара.

Бурное развитие интернет-тех­нологий не обошло банковскую деятельность: возникли новые виды финансовых услуг, измени­лась структура банковских рынков и даже непосредственно сущность банковского дела.

В настоящее время практически все российские банки, включая государственные Сбербанк России и ВТБ, продвигают услуги интер­нет-банкинга. Клиенты могут не только переводить деньги с одного счета на другой (в том числе попол­нять депозиты и карточные счета), но и перечислять через Сеть деньги в другие банки, конвертировать средства, открывать и закрывать вклады. Развивая интернет-техно­логии, каждый банк вводит допол­нительные услуги. К примеру, услу­ги, дающие возможность оформ­лять через Интернет заявку на покупку страхового полиса (при необходимости страхования жизни, предмета залога и т.д.), погашать кредиты, оформлять новые займы, выплачивать проценты по ним. В некоторых банках онлайн-серви-сы позволяют клиентам самостоя­тельно составлять график автома­тических платежей со своего счета. Для кредитных организаций освоение виртуального простран­ства дает множество преимуществ. Прежде всего это экономия издержек. Дистанционное обслуживание позволяет значительно сократить затраты на аренду и обслуживание помещений, существенно умень­шить численность персонала и, соответственно, расходы на зарпла­ту. Благодаря экономичному онлайн-обслуживанию банк может предлагать более выгодные усло­вия, одновременно ускоряя процесс обработки банковской информа­ции, что способствует привлече­нию новых клиентов и освоению новых рынков, причем без откры­тия дополнительных офисов про­даж. Сегодня многие банки расхо­дуют на развитие обслуживания через Интернет, самообслуживания и мобильного банковского обслу­живания примерно пятую часть своих инвестиций.

Исследование западных бан­ков, проведенное консалтинговой компанией The Boston Consulting Group в 2009 г., показало, что за счет меньшей стоимости удержа­ния клиента (на 4%), большего объема продаж услуг (на 8%) и сни­жения стоимости обслуживания (на 14%) банковский клиент, кото­рый обслуживается в режиме онлайн, на 26% прибыльнее, чем пользующийся традиционной офлайновой услугой. В России прибыль может быть меньше из-за сравнительно небольшого объема онлайн-операций и меньшей эко­номии на масштабе.

Риски интернет-технологий

Открывая банкам новые опера­ционные возможности, интернет-банкинг увеличивает сопутствую­щие банковской деятельности риски. Он не меняет природы финансовых рисков: банки сталки­ваются с теми же видами риска, что и при проведении классических банковских операций. Но интер­нет-технологии модифицируют характер традиционных рисков и вносят разнообразие в их структу­ру, оказывая воздействие на общие параметры профиля риска банка (табл.).

В результате все большее значе­ние начинают играть нефинансовые риски - стратегический, операци­онный, правовой и риск потери репутации.

Использование информацион­ных технологий может подвергать угрозам целостность, своевремен­ность, конфиденциальность и доступность банковской информа­ции. Источники угроз кроются как в программном обеспечении, так и в намеренном или ненамеренном срабатывании человеческого фак­тора. К примеру, угрозы банковской информационной безопасности могут исходить от пользователей внешних сетей (атаки из Интернета, злонамеренное использование каналов дистанционного банков­ского обслуживания), от персонала банка (вследствие ошибочных дей­ствий или халатности). В програм­мном обеспечении, поддерживаю­щем услуги интернет-банкинга, могут быть встроены подпрограм­мы разрушающего воздействия или компьютерные вирусы, а также отдельные недекларированные воз­можности. Немалую угрозу несут в себе сбои в работе оборудования и программного обеспечения.

Специфика интернет-банкинга вносит определенные проблемы и в управление рисками:

1. В сфере технологии и обслужи­вания клиентов через Интернет широко используются инновации. Банки, испытывая давление со сто­роны конкурентов, вводят новые операционные прикладные програм­мы в сжатые сроки. Иногда с момен­та разработки концепции услуги до ее внедрения проходит всего несколь­ко месяцев. Эта тенденция к экс­промту мешает своевременному проведению адекватной стратеги­ческой оценки и анализа степени риска, проверки безопасности новой высокотехнологичной услуги.

2. Системы интернет-банкинга и связанные с ним прикладные про­граммы, как правило, интегрируются с компьютерными системами банка для обеспечения прямой сквозной обработки электронных трансакций. И хотя при этом снижаются возмож­ности   субъективной   ошибки  и мошенничества, которые характер­ны для ручной обработки данных, одновременно увеличивается зави­симость  банков от надежности структуры и архитектуры систем, равно как и от их операционной сов­местимости и масштабности.

3. Интернет-банкинг увеличива­ет и зависимость банков от инфор­мационных технологий, приводя к росту проблем безопасности и к технической сложности операций. В целях обслуживания информаци­онных систем банк стремится к установлению тесного партнерства с третьими сторонами, с такими небанковскими организациями, как интернет-провайдеры, телекомму­никационные компании и другие технологические фирмы, которые находятся вне сферы банковского регулирования и надзора.

4. Интернет - открытая сеть, доступная из любой точки земного шара для любых организаций или частных лиц, с маршрутами переда­чи сообщений через различные сер­вера, разбросанные по всему миру посредством беспроводных средств.

Глобальный характер Интернета существенным образом увеличива­ет важность и вместе с тем слож­ность систем контроля за обеспе­чением безопасности, методов аутентификации клиентов, защиты данных и норм соблюдения кли­ентской тайны.

Очевидно, что традиционные принципы управления рисками бан­ковской деятельности должны учитывать сложные характерные осо­бенности интернет-услуг. Банкам целесообразно использовать интегрированный подход к управлению риском, контроль которого должен стать неотъемлемой частью общей структуры управления рисками банка. Необходимо разрабатывать процедуры управления, соответ­ствующие специфике интернет-услуг, общему профилю риска, опе­рационной структуре и корпоратив­ной культуре управления. Системы контроля и безопасности банка должны быть адекватными техно­логическим нововведениям.

Принципы управления рисками интернет-банкинга

На международном уровне выработка единых подходов к организации банковского регули­рования и надзора в сфере интер­нет-банкинга еще не завершена. Для этого пока не хватает объек­тивной информации о деятельнос­ти банков через интернет-про­странство. Разногласия имеются даже в определениях того, что сле­дует понимать под термином «интернет-банкинг».

Немало разночтений существует и в составе, и в определениях ком­понентов банковских рисков, обусловленных данной банковской тех­нологией. Это связано с многообра­зием факторов риска, учет которых обеспечить непросто. Кроме того, информационная система в каждой кредитной организации всегда отли­чается какой-либо спецификой, а разным архитектурам и структурам внутрибанковских систем свой­ственны разные источники рисков. Наконец, даже наличие десятков функционально однонаправленных, но во многом разнородных про­граммно-технических разработок свидетельствует о сложности про­блематики и о необходимости сис­темного подхода к ее изучению.

В настоящее время многие нацио­нальные органы банковского надзо­ра принимают за основу своих методик Принципы управления рисками для предоставления банковских услуг в электронной форме, раз­работанные Базельским комитетом по банковскому надзору еще в июле 2003 г. Следует отметить, что Базельский комитет продолжает работу по созданию единых реко­мендаций в области надзора за рис­ками интернет-банкинга в рамках работы Группы по электронному банковскому делу, активно сотруд­ничающей с органами банковского надзора различных стран мира.

Базельские принципы управле­ния рисками электронных техноло­гий, в том числе интернет-банкинга, классифицируются по трем груп­пам: принципы для совета директо­ров и правления банка; принципы для выбора и адекватного функцио­нирования средств обеспечения безопасности; принципы для повы­шения значимости управления пра­вовым и репутационным рисками.

Первые три принципа управле­ния рисками электронного бан­кинга сгруппированы в разделе «Наблюдение со стороны совета и руководства». Их суть заключает­ся в том, что совет директоров и правление банка отвечают за разработку корпоративной стратегии банка и за организацию эффектив­ного наблюдения за рисками. Предполагается, что они принима­ют четкие, обоснованные и форма­лизованные стратегические решения относительно того, будет ли в будущем предоставлять банк услуги в рамках интернет-банкинга, и если да, то каким именно образом.

Совет директоров несет ответ­ственность за политику управления рисками при осуществлении опера­ций интернет-банкинга и за наличие контроля за безопасностью. В свою очередь, правление банка должно обеспечить надлежащее содержание этих процессов. Это означает введе­ние должных правил авторизации и способов аутентификации, средств контроля логического и физическо­го доступа, построение адекватной структуры безопасности для поддер­жания необходимых допусков и ограничений в части действий как внутренних, так и внешних пользо­вателей, а также целостности транс­акций, записей и информации.

Другие семь принципов управле­ния рисками Базельским комитетом сгруппированы в тематическую категорию «Средства обеспечения безопасности». Такая категория представляет особую значимость вследствие повышенной сложности технологий, применяемых при опе­рациях интернет-банкинга. Поэтому для банка актуальны вопросы аутен­тификации клиентов, целостности данных и трансакций, разделения обязанностей, использования средств управления авторизацией, поддержания аудиторских записей, а также конфиденциальности бан­ковской информации.

Третья группа принципов управ­ления рисками электронного бан­кинга включает рекомендации по управлению правовым и репутаци-онным рисками. Их возможное обострение обусловлено различия­ми в законодательных актах стран, через которые производятся такого рода операции, в обеспечении кон­фиденциальности информации и правилах защиты клиента, действу­ющих на территориях этих стран. Интернет-банкинг позволяет в счи­танные секунды преодолеть рас­стояния и границы, однако он не отменяет действие законов стран -получателей услуг.

Банки несут ответственность за обеспечение требований раскры­тия информации, защиты клиент­ских данных и доступности дело­вых операций, а также требований, действующих при проведении опе­раций через традиционные каналы предоставления банковских услуг. В этой связи Базельский комитет по банковскому надзору формули­рует еще четыре принципа управ­ления рисками, которым рекомен­дуется следовать банкам, оказываю­щим услуги интернет-банкинга.

Базельские принципы являются опорными пунктами выстраивания комплексной системы управления рисками интернет-банкинга, без которых вся последующая работа банка по идентификации, анализу, оценке и минимизации рисков утрачивает смысл.

Рекомендации Базельского комитета по банковскому надзору были учтены и Банком России при разработке принципов управления рисками интернет-банкинга для российских банков, которые имеют рекомендательный характер.

Надзор за рисками интернет-банкинга со стороны Банка России

Развитие интернет-банкинга в России способствовало разработке Банком России мер по организации постоянного наблюдения за процес­сами расширения и модернизации данного вида банковского обслужи­вания. С июля 2004 г. введено в действие Указание, устанавливаю­щее порядок информирования кре­дитными организациями Банка России об использовании интернет-технологий Документ преду­сматривает сбор посредством спе­циально разработанной отчетной формы определенных сведений о применяемых банками интернет-технологиях, об их организацион­ном обеспечении, а также об усло­виях применения.

На основе аналитической обра­ботки данной информации Банк России получает сведения о теку­щем развитии технологий интернет-банкинга в отечественной банков­ской системе, одновременно фор­мируя представление о круге проблем в данной области, требую­щих определенного регулирования. Так, например, в декабре 2007 г. Банк России, выражая обеспокоенность рядом негативных явлений и инцидентов, затрагивающих сайты рос­сийских банков (сетевые атаки, а также попытки неправомерного получения персональной конфиден­циальной информации о пользова­телях), рекомендовал банкам в дого­ворах с провайдерами интернет-услуг предусматривать принятие ряда специальных мер по восста­новлению работоспособности их \Ш>ресурсов в случае возникнове­ния чрезвычайных ситуаций, огово­рив обязательства сторон и ответ­ственность контрагентов за несвое­временное исполнение.

В рекомендациях Банка России по организации управления риска­ми, возникающими при осущест­влении операций с применением систем интернет-банкинга, под­черкивается, что обеспечение эффективного управления ими является одной из целей внутрен­него контроля. Согласно этим рекомендациям, оптимальная модель управления рисками в дан­ной сфере должна включать следу­ющие компоненты:

• квалифицированная полити­ка информатизации, в том числе внедрения и развития технологий интернет-банкинга, проводимая руководством кредитной организа-циии и обеспечивающая полнофун-кциональность системы - выпол­нение предполагающихся функций банковского обслуживания;

• тщательно продуманная архи­тектура автоматизированной бан­ковской системы;

• адекватные меры по обеспе­чению информационной безопас­ности по всему информационному контуру интернет-банкинга, гаран­тирующие доступность и непре­рывность банковского обслужива­ния, а также защиту информации от несанкционированного доступа, модификации либо уничтожения;

• организация внутрибанков­ских процессов и процедур, соот­ветствующих масштабу, технологи­ческой и технической сложности предоставляемого обслуживания клиентов посредством интернет-банкинга;

• отлаженная система внутрен­него контроля, охватывающая всю технологическую цепочку интернет-банкинга и организационную струк­туру, начиная с руководства банка;

• эффективная система финан­сового мониторинга, оказывающая противодействие    попыткам использования системы интернет-банкинга в противоправных целях;

• содержательное и всеобъем­лющее организационное, информа­ционное, методическое и консуль­тационное обеспечение клиентов;

• оптимальные с точки зрения минимизации сопутствующих рис­ков взаимоотношения кредитной организации со своими провайде­рами и вендорами.

Рекомендации Банка России учи­тывают и трансграничный характер услуг интернет-банкинга. Так, банкам рекомендуется выявлять воз­можные дополнительные источни­ки рисков, возникающих в связи с нарушением законодательства зару­бежных государств или территорий, а также дополнительные факторы рисков, относящихся к иным юрис-дикциям, в том числе к соблюдению рекомендаций ФАТФ.

В настоящее время подход Банка России к организации бан­ковского надзора в области интер­нет-банкинга в значительной мере сводится к наблюдению за процес­сами, происходящими в этой сфере, выявлению основных факторов или источников рисков, сопутству­ющих применению данной техно­логии услуг, а также разработке методического обеспечения управ­ления рисками.

В большинстве российских бан­ков системы внутреннего контроля до сих пор не учитывают угроз, свя­занных с применением интернет-технологий. Многие банки переносят ответственность за аудит и контроль информационных технологий на участников процессов организации этих технологий - на подразделения автоматизации, нарушая основной постулат организации риск-ориенти­рованной системы контроля, а имен­но ее независимость от бизнес-про­цессов. Плановые проверки службой внутреннего контроля работы под­разделений автоматизации зачастую сводятся к формальной выверке наличия необходимых внутренних методологических документов, фик­сации сбоев автоматизированной системы за период проверки и фак­тов их устранения. Такая ситуация связана и с недостаточным уровнем профессиональной подготовки спе­циалистов внутреннего контроля, и с отсутствием жестких требований надзорного органа к деятельности этих служб, и с недостаточной оцен­кой банками рисков дистанционного банковского обслуживания, в том числе интернет-банкинга.

Чтобы служба внутреннего кон­троля была эффективной, ее персо­нал должен иметь полное и адекват­ное представление о бизнес-модели банка, направлениях его деятель­ности, технологическом и програм­мном обеспечении, интернет-бан­кинге, о рисках, связанных с интер­нет-технологиями, их возможных источниках и способах оценки. Известные принципы «знай своего клиента» и «знай своего работника» для специалистов, занятых в систе­ме внутреннего контроля, уместно было бы дополнить принципом «знай свои технологии».