|
Одной из главных характеристик временного мира является проникновение информационных технологий во все сферы жизни общества. По данным Международной организации интернет-статистики, на 30 июня 2010 г. насчитывалось около 2 млрд пользователей сети Интернет - порядка 28,7% населения земного шара. Бурное развитие интернет-технологий не обошло банковскую деятельность: возникли новые виды финансовых услуг, изменилась структура банковских рынков и даже непосредственно сущность банковского дела. В настоящее время практически все российские банки, включая государственные Сбербанк России и ВТБ, продвигают услуги интернет-банкинга. Клиенты могут не только переводить деньги с одного счета на другой (в том числе пополнять депозиты и карточные счета), но и перечислять через Сеть деньги в другие банки, конвертировать средства, открывать и закрывать вклады. Развивая интернет-технологии, каждый банк вводит дополнительные услуги. К примеру, услуги, дающие возможность оформлять через Интернет заявку на покупку страхового полиса (при необходимости страхования жизни, предмета залога и т.д.), погашать кредиты, оформлять новые займы, выплачивать проценты по ним. В некоторых банках онлайн-серви-сы позволяют клиентам самостоятельно составлять график автоматических платежей со своего счета. Для кредитных организаций освоение виртуального пространства дает множество преимуществ. Прежде всего это экономия издержек. Дистанционное обслуживание позволяет значительно сократить затраты на аренду и обслуживание помещений, существенно уменьшить численность персонала и, соответственно, расходы на зарплату. Благодаря экономичному онлайн-обслуживанию банк может предлагать более выгодные условия, одновременно ускоряя процесс обработки банковской информации, что способствует привлечению новых клиентов и освоению новых рынков, причем без открытия дополнительных офисов продаж. Сегодня многие банки расходуют на развитие обслуживания через Интернет, самообслуживания и мобильного банковского обслуживания примерно пятую часть своих инвестиций. Исследование западных банков, проведенное консалтинговой компанией The Boston Consulting Group в 2009 г., показало, что за счет меньшей стоимости удержания клиента (на 4%), большего объема продаж услуг (на 8%) и снижения стоимости обслуживания (на 14%) банковский клиент, который обслуживается в режиме онлайн, на 26% прибыльнее, чем пользующийся традиционной офлайновой услугой. В России прибыль может быть меньше из-за сравнительно небольшого объема онлайн-операций и меньшей экономии на масштабе. Риски интернет-технологий Открывая банкам новые операционные возможности, интернет-банкинг увеличивает сопутствующие банковской деятельности риски. Он не меняет природы финансовых рисков: банки сталкиваются с теми же видами риска, что и при проведении классических банковских операций. Но интернет-технологии модифицируют характер традиционных рисков и вносят разнообразие в их структуру, оказывая воздействие на общие параметры профиля риска банка (табл.). В результате все большее значение начинают играть нефинансовые риски - стратегический, операционный, правовой и риск потери репутации. Использование информационных технологий может подвергать угрозам целостность, своевременность, конфиденциальность и доступность банковской информации. Источники угроз кроются как в программном обеспечении, так и в намеренном или ненамеренном срабатывании человеческого фактора. К примеру, угрозы банковской информационной безопасности могут исходить от пользователей внешних сетей (атаки из Интернета, злонамеренное использование каналов дистанционного банковского обслуживания), от персонала банка (вследствие ошибочных действий или халатности). В программном обеспечении, поддерживающем услуги интернет-банкинга, могут быть встроены подпрограммы разрушающего воздействия или компьютерные вирусы, а также отдельные недекларированные возможности. Немалую угрозу несут в себе сбои в работе оборудования и программного обеспечения. Специфика интернет-банкинга вносит определенные проблемы и в управление рисками: 1. В сфере технологии и обслуживания клиентов через Интернет широко используются инновации. Банки, испытывая давление со стороны конкурентов, вводят новые операционные прикладные программы в сжатые сроки. Иногда с момента разработки концепции услуги до ее внедрения проходит всего несколько месяцев. Эта тенденция к экспромту мешает своевременному проведению адекватной стратегической оценки и анализа степени риска, проверки безопасности новой высокотехнологичной услуги. 2. Системы интернет-банкинга и связанные с ним прикладные программы, как правило, интегрируются с компьютерными системами банка для обеспечения прямой сквозной обработки электронных трансакций. И хотя при этом снижаются возможности субъективной ошибки и мошенничества, которые характерны для ручной обработки данных, одновременно увеличивается зависимость банков от надежности структуры и архитектуры систем, равно как и от их операционной совместимости и масштабности. 3. Интернет-банкинг увеличивает и зависимость банков от информационных технологий, приводя к росту проблем безопасности и к технической сложности операций. В целях обслуживания информационных систем банк стремится к установлению тесного партнерства с третьими сторонами, с такими небанковскими организациями, как интернет-провайдеры, телекоммуникационные компании и другие технологические фирмы, которые находятся вне сферы банковского регулирования и надзора. 4. Интернет - открытая сеть, доступная из любой точки земного шара для любых организаций или частных лиц, с маршрутами передачи сообщений через различные сервера, разбросанные по всему миру посредством беспроводных средств. Глобальный характер Интернета существенным образом увеличивает важность и вместе с тем сложность систем контроля за обеспечением безопасности, методов аутентификации клиентов, защиты данных и норм соблюдения клиентской тайны. Очевидно, что традиционные принципы управления рисками банковской деятельности должны учитывать сложные характерные особенности интернет-услуг. Банкам целесообразно использовать интегрированный подход к управлению риском, контроль которого должен стать неотъемлемой частью общей структуры управления рисками банка. Необходимо разрабатывать процедуры управления, соответствующие специфике интернет-услуг, общему профилю риска, операционной структуре и корпоративной культуре управления. Системы контроля и безопасности банка должны быть адекватными технологическим нововведениям. Принципы управления рисками интернет-банкинга На международном уровне выработка единых подходов к организации банковского регулирования и надзора в сфере интернет-банкинга еще не завершена. Для этого пока не хватает объективной информации о деятельности банков через интернет-пространство. Разногласия имеются даже в определениях того, что следует понимать под термином «интернет-банкинг». Немало разночтений существует и в составе, и в определениях компонентов банковских рисков, обусловленных данной банковской технологией. Это связано с многообразием факторов риска, учет которых обеспечить непросто. Кроме того, информационная система в каждой кредитной организации всегда отличается какой-либо спецификой, а разным архитектурам и структурам внутрибанковских систем свойственны разные источники рисков. Наконец, даже наличие десятков функционально однонаправленных, но во многом разнородных программно-технических разработок свидетельствует о сложности проблематики и о необходимости системного подхода к ее изучению. В настоящее время многие национальные органы банковского надзора принимают за основу своих методик Принципы управления рисками для предоставления банковских услуг в электронной форме, разработанные Базельским комитетом по банковскому надзору еще в июле 2003 г. Следует отметить, что Базельский комитет продолжает работу по созданию единых рекомендаций в области надзора за рисками интернет-банкинга в рамках работы Группы по электронному банковскому делу, активно сотрудничающей с органами банковского надзора различных стран мира. Базельские принципы управления рисками электронных технологий, в том числе интернет-банкинга, классифицируются по трем группам: принципы для совета директоров и правления банка; принципы для выбора и адекватного функционирования средств обеспечения безопасности; принципы для повышения значимости управления правовым и репутационным рисками. Первые три принципа управления рисками электронного банкинга сгруппированы в разделе «Наблюдение со стороны совета и руководства». Их суть заключается в том, что совет директоров и правление банка отвечают за разработку корпоративной стратегии банка и за организацию эффективного наблюдения за рисками. Предполагается, что они принимают четкие, обоснованные и формализованные стратегические решения относительно того, будет ли в будущем предоставлять банк услуги в рамках интернет-банкинга, и если да, то каким именно образом. Совет директоров несет ответственность за политику управления рисками при осуществлении операций интернет-банкинга и за наличие контроля за безопасностью. В свою очередь, правление банка должно обеспечить надлежащее содержание этих процессов. Это означает введение должных правил авторизации и способов аутентификации, средств контроля логического и физического доступа, построение адекватной структуры безопасности для поддержания необходимых допусков и ограничений в части действий как внутренних, так и внешних пользователей, а также целостности трансакций, записей и информации. Другие семь принципов управления рисками Базельским комитетом сгруппированы в тематическую категорию «Средства обеспечения безопасности». Такая категория представляет особую значимость вследствие повышенной сложности технологий, применяемых при операциях интернет-банкинга. Поэтому для банка актуальны вопросы аутентификации клиентов, целостности данных и трансакций, разделения обязанностей, использования средств управления авторизацией, поддержания аудиторских записей, а также конфиденциальности банковской информации. Третья группа принципов управления рисками электронного банкинга включает рекомендации по управлению правовым и репутаци-онным рисками. Их возможное обострение обусловлено различиями в законодательных актах стран, через которые производятся такого рода операции, в обеспечении конфиденциальности информации и правилах защиты клиента, действующих на территориях этих стран. Интернет-банкинг позволяет в считанные секунды преодолеть расстояния и границы, однако он не отменяет действие законов стран -получателей услуг. Банки несут ответственность за обеспечение требований раскрытия информации, защиты клиентских данных и доступности деловых операций, а также требований, действующих при проведении операций через традиционные каналы предоставления банковских услуг. В этой связи Базельский комитет по банковскому надзору формулирует еще четыре принципа управления рисками, которым рекомендуется следовать банкам, оказывающим услуги интернет-банкинга. Базельские принципы являются опорными пунктами выстраивания комплексной системы управления рисками интернет-банкинга, без которых вся последующая работа банка по идентификации, анализу, оценке и минимизации рисков утрачивает смысл. Рекомендации Базельского комитета по банковскому надзору были учтены и Банком России при разработке принципов управления рисками интернет-банкинга для российских банков, которые имеют рекомендательный характер.
Надзор за рисками интернет-банкинга со стороны Банка России Развитие интернет-банкинга в России способствовало разработке Банком России мер по организации постоянного наблюдения за процессами расширения и модернизации данного вида банковского обслуживания. С июля 2004 г. введено в действие Указание, устанавливающее порядок информирования кредитными организациями Банка России об использовании интернет-технологий Документ предусматривает сбор посредством специально разработанной отчетной формы определенных сведений о применяемых банками интернет-технологиях, об их организационном обеспечении, а также об условиях применения. На основе аналитической обработки данной информации Банк России получает сведения о текущем развитии технологий интернет-банкинга в отечественной банковской системе, одновременно формируя представление о круге проблем в данной области, требующих определенного регулирования. Так, например, в декабре 2007 г. Банк России, выражая обеспокоенность рядом негативных явлений и инцидентов, затрагивающих сайты российских банков (сетевые атаки, а также попытки неправомерного получения персональной конфиденциальной информации о пользователях), рекомендовал банкам в договорах с провайдерами интернет-услуг предусматривать принятие ряда специальных мер по восстановлению работоспособности их \Ш>ресурсов в случае возникновения чрезвычайных ситуаций, оговорив обязательства сторон и ответственность контрагентов за несвоевременное исполнение. В рекомендациях Банка России по организации управления рисками, возникающими при осуществлении операций с применением систем интернет-банкинга, подчеркивается, что обеспечение эффективного управления ими является одной из целей внутреннего контроля. Согласно этим рекомендациям, оптимальная модель управления рисками в данной сфере должна включать следующие компоненты: • квалифицированная политика информатизации, в том числе внедрения и развития технологий интернет-банкинга, проводимая руководством кредитной организа-циии и обеспечивающая полнофун-кциональность системы - выполнение предполагающихся функций банковского обслуживания; • тщательно продуманная архитектура автоматизированной банковской системы; • адекватные меры по обеспечению информационной безопасности по всему информационному контуру интернет-банкинга, гарантирующие доступность и непрерывность банковского обслуживания, а также защиту информации от несанкционированного доступа, модификации либо уничтожения; • организация внутрибанковских процессов и процедур, соответствующих масштабу, технологической и технической сложности предоставляемого обслуживания клиентов посредством интернет-банкинга; • отлаженная система внутреннего контроля, охватывающая всю технологическую цепочку интернет-банкинга и организационную структуру, начиная с руководства банка; • эффективная система финансового мониторинга, оказывающая противодействие попыткам использования системы интернет-банкинга в противоправных целях; • содержательное и всеобъемлющее организационное, информационное, методическое и консультационное обеспечение клиентов; • оптимальные с точки зрения минимизации сопутствующих рисков взаимоотношения кредитной организации со своими провайдерами и вендорами. Рекомендации Банка России учитывают и трансграничный характер услуг интернет-банкинга. Так, банкам рекомендуется выявлять возможные дополнительные источники рисков, возникающих в связи с нарушением законодательства зарубежных государств или территорий, а также дополнительные факторы рисков, относящихся к иным юрис-дикциям, в том числе к соблюдению рекомендаций ФАТФ. В настоящее время подход Банка России к организации банковского надзора в области интернет-банкинга в значительной мере сводится к наблюдению за процессами, происходящими в этой сфере, выявлению основных факторов или источников рисков, сопутствующих применению данной технологии услуг, а также разработке методического обеспечения управления рисками. В большинстве российских банков системы внутреннего контроля до сих пор не учитывают угроз, связанных с применением интернет-технологий. Многие банки переносят ответственность за аудит и контроль информационных технологий на участников процессов организации этих технологий - на подразделения автоматизации, нарушая основной постулат организации риск-ориентированной системы контроля, а именно ее независимость от бизнес-процессов. Плановые проверки службой внутреннего контроля работы подразделений автоматизации зачастую сводятся к формальной выверке наличия необходимых внутренних методологических документов, фиксации сбоев автоматизированной системы за период проверки и фактов их устранения. Такая ситуация связана и с недостаточным уровнем профессиональной подготовки специалистов внутреннего контроля, и с отсутствием жестких требований надзорного органа к деятельности этих служб, и с недостаточной оценкой банками рисков дистанционного банковского обслуживания, в том числе интернет-банкинга. Чтобы служба внутреннего контроля была эффективной, ее персонал должен иметь полное и адекватное представление о бизнес-модели банка, направлениях его деятельности, технологическом и программном обеспечении, интернет-банкинге, о рисках, связанных с интернет-технологиями, их возможных источниках и способах оценки. Известные принципы «знай своего клиента» и «знай своего работника» для специалистов, занятых в системе внутреннего контроля, уместно было бы дополнить принципом «знай свои технологии». |
|
© about-internet-banking |