Переход к электронному способу ведения бизнеса - одна из самых ярких современных тенденций в банковском деле. Развитие новых технологий ведет к кардинальному изменению соотношения между различными видами риска, с которым сталкиваются банки. Эта проблема привлекла к себе пристальное внимание международных финансовых организаций, центральных банков развитых стран и крупнейших рейтинговых агентств.

Первое фундаментальное исследование провел Базельский комитет по банковскому надзору при Банке международных расчетов (Банк международных расчетов (БМР) в Базеле создан в 1930 г. по Гаагскому соглашению о германских репарациях. БМР - орган консультаций и сотрудничества центральных банков, который ведет исследовательскую работу, координирует системы банковского надзора и является источником чрезвычайных кредитов центральным банкам. В настоящее время право голоса на общих собраниях имеют 50 центральных банков и иных центральных финансовых органов, а на последнем таком собрании - в нюне 2001 г. - присутствовали представители 107 организаций. Базельский комитет по банковскому надзору при БМР создан в 1974 г.) В ноябре 1999 г. была создана рабочая группа по электронным банковским услугам (результатом ее деятельности стали два доклада). На основе выводов этой группы Базельский комитет совместно с Банком международных расчетов приняли в мае 2001 г. важный рекомендательный документ: в нем были определены ключевые категории рисков и зафиксированы основные принципы управления рисками, которых следует придерживаться банкам, развивающим бизнес в новой сфере.

Значительное внимание различным аспектам данной проблематики уделено и в исследованиях других влиятельных межгосударственных организаций - Международного валютного фонда и Группы десяти (Группа десяти (G-10)- группа ведущих развитых стран - членов Международного валютного фонда (США, ФРГ, Великобритания, Франция, Япония, Италия, Канада, Бельгия, Нидерланды, Швеция), принявших в 1962 г. обязательства в рамках общего соглашения о займах кредитовать друг друга в национальных валютах; в 1984 г. к ним присоединилась Швейцария. Эта группа играет заметную роль в международной валютной системе; из представителей входящих в нее стран образован Базельский комитет по банковскому надзору). Центральные банки и банковские ассоциации развитых стран также изучают эти вопросы - к примеру, весьма обстоятельные доклады были подготовлены Федеральным союзом германских банков и Федеральным банком Германии. Естественно, не остались в стороне от проблемы рисков и рейтинговые агентства - Fitch 1ВСА и Standard & Poor's (см. врезку со списком докладов и исследований).

Попытаемся обобщить основные положения указанных документов и определить важнейшие подходы к анализу рисков в сфере электронных банковских услуг. Начнем с характеристики рассматриваемой сферы в качестве составной части электронного бизнеса и анализа новых тенденций, развивающихся в результате цифровизации банковского дела.



Что такое э-банкинг?



Прежде всего необходимо подчеркнуть, что электронные банковские услуги, или э-банкинг, вовсе не экзотический финансовый инструмент и не дополнительное направление банковской деятельности. Это новый способ осуществления банковских бизнес-процессов, суть которого состоит в проведении транзакций с помощью электронных сетей. В указанном смысле электронные банковские услуги являются важной частью электронного бизнеса (э-банкинг включает в себя такие направления, как онлайновое информационное обслуживание, эмиссия цифровых денег, электронные платежи и расчеты, а также депозитно-ссудные, валютные и фондовые операции, совершаемые электронным способом). Данное определение используется как обобщающее, оно подходит для всех форм электронного доступа клиентов к банковским услугам.

Нередко термин "онлайн-услуги" употребляется в расширительном смысле (например, когда приводятся данные о количестве онлайновых счетов в банках), т. е. под ним подразумеваются в том числе и услуги, оказываемые через Интернет. Строго говоря, это все же две разные формы банковского сервиса, предоставляемого через персональный компьютер. Первая появилась в начале 1980-х гг., она означает проведение операций в закрытых электронных сетях с помощью специального программного обеспечения, а вторая стала развиваться позже - с середины 1990-х гг., и ее принципиальной особенностью является наличие у клиента персонального компьютера, имеющего веб-доступ, т. е. подключенного к открытой глобальной сети. В обоих случаях связь устанавливается по стационарным телефонным линиям (через аналоговый модем или цифровой адаптер).

Мобильные банковские услуги - яркий пример стирания границ между различными формами э-банкинга (на рисунке направления сглаживания различий показаны стрелками). Сотовые телефоны, персональные электронные секретари, портативные компьютеры в сочетании с беспроводной связью обеспечивают доступ в глобальную сеть и дают возможность пользоваться интернет-услугами (таким образом, последние перестают относиться исключительно к банковскому обслуживанию через персональный компьютер). Применяемый сейчас WАР-стандарт (протокол беспроводных приложений) считается переходным, на смену ему в среднесрочной перспективе придет имеющий гораздо более высокую скорость передачи информации UМТS-стандарт (универсальная мобильная телекоммуникационная система), на базе которого станет развиваться связь третьего поколения.

Предпосылки для быстрого прогресса были созданы удешевлением технологий, лежащих в основе электронного сервиса, - по данным Мирового банка, в последние два десятилетия XX в. компьютерные мощности резко выросли (в десять тысяч раз), а телекоммуникационные издержки столь же сильно (в той же пропорции) упали. Относительные размеры накладных расходов в интернет-банках в 2-3 раза ниже, чем в обычных банках (Claessens S., Glaessner Т., Klingebiel D. Electronic Finance: Reshaping the Financial Landscape around the World // The World Bank Financial Sector Discussion Paper. 2000. N4. P. 15), a обработка веб-транзакций обходится в 5-10 раз дешевле, чем при использовании традиционных каналов. Так, издержки проведения финансовых операций составляют: в офисе - 1, 07 долл., по почте - 0, 73 долл., по телефону - 0, 35 долл., через банкомат - 0, 27 долл., через глобальную сеть -0, 10 долл. (Economic Briefings: Credit Suisse. 2000. N 15. P. 13). По оценке инвестиционного банка JP Morgan, уровень проникновения э-банкинга вырастет в 2000- 2003 гг. с 8% до 22% в странах Европейского союза и с 15% до 33% - в США (Online Finance Europe: JP Morgan. 2 June 2000. P. 29, 37). В ФРГ, по данным Федерального союза германских банков, количество онлайновых счетов увеличилось с 1, 5 млн. в 1995 г. до 10 млн. в 1999 г. (E-Commerce als Bankdienstleistung: Bundesverband deutscher Banken. Oktober 2000), т. е. среднегодовые темпы прироста составили более 60%. Несмотря на такие впечатляющие показатели, значительный простор для экспансии сохраняется: в общем числе открытых в германских банках счетов доля указанных составляет менее 12%.

Столь стремительное развитие электронного способа проведения операций оказывает серьезное влияние на весь банковский бизнес. Выделяются следующие основные тенденции, набирающие силу в результате прогресса информационных технологий.

1. Ускоряется стандартизация предлагаемого клиентам сервиса и используемых финансовых инструментов. В результате рынок банковских услуг становится все более похожим на рынки товаров массового производства, т. е. на нем открываются новые возможности реализации экономии на масштабах. В то же время следует отметить, что процессы стандартизации проявляются гораздо слабее в областях ипотечного кредитования и доверительного управления активами, для которых необходимо серьезное консультирование; подобные услуги в обозримом будущем потребуют сохранения филиальной сети. Поэтому сейчас доминирует концепция интегрированной модели - банков, построенных по принципу clicks-and-bricks ("щелчки мышкой" как символ Интернета и "кирпичи" как обозначение традиционной экономики) и поддерживающих взаимоде йствие с клиентами по многим каналам.

2. Формируются новые сферы приложения банковского капитала, позволяющие получать "экономию на разнообразии", т. е. вести перекрестные продажи и таким образом укреплять приверженность (лояльность) клиентов. К этим сферам, связанным прежде всего с включением банков в межкорпоративный сегмент электронной коммерции (сегмент "бизнес - бизнес", или В2В), относятся: организация удостоверяющих центров по выпуску сертификатов и подтверждению подлинности электронной цифровой подписи; создание электронных систем предъявления счетов к оплате, взаимодействующих с электронными системами оплаты повторяющихся счетов (автоматизация биллинговых процедур); участие в функционировании онлайновых бирж и торговых площадок в качестве партнера, обеспечивающего финансовую сторону Интернет-торговли; разработка собственных систем веб-закупок оборудования и материалов и оказание подобных услуг своим клиентам и т. п.

3. Расширяется доступ к наиболее перспективным индивидуальным клиентам (имеющим достаточно высокие уровень образования и размер доходов).

4. Деятельность банков концентрируется на тех направлениях, которые относятся к области их ключевой компетенции (посредством кооперации со многими партнерами в процессе создания и функционирования крупных веб-порталов и передачи технически сложных разработок внешним исполнителям).

5. Развиваются методы систематического анализа больших массивов клиентских данных, позволяющие выявить персональные особенности поведения клиентов (при осуществлении платежей, внесении средств в депозиты, инвестировании в ценные бумаги, обращении за ссудами и т. д.), значительно повысить точность присваиваемого кредитного рейтинга и выстроить схему индивидуального банковского обслуживания с глазу на глаз. Накопленная банками клиентская информация становится очень ценным стратегическим активом, нередко именно из-за обладания этими сведениями тот или иной банк становится объектом поглощения, в том числе и со стороны нефинансовой группы.

В настоящее время сформировалось несколько моделей онлайнового банковского бизнеса:

интернет-подразделение традиционного (офлайнового) банка, дополняющее сеть филиалов и телефонных центров;

интернет-банк, учрежденный офлайновым банком в виде самостоятельного юридического лица со своей торговой маркой (в Германии банки такой модели называются директ-банками);

виртуальный банк (аналог интернет-банка, организованный небанковской компанией - чаще всего страховой или технологической);

агрегатор электронного финансового супермаркета (банк, осуществляющий веб-продажи как своих, так и предлагаемых другими финансовыми институтами услуг).

Наиболее распространенными являются первые две модели, причем интернет-подразделение обычно используется для операций на внутреннем финансовом рынке, а интернет-банк - для выхода за границу (в первую очередь на рынки развивающихся стран), поскольку именно он обеспечивает необходимую для зарубежной деятельности гибкость в использовании финансовых инструментов, установлении тарифов при отборе клиентов.

Экспансия ведущих мировых банков в обеих формах (офлайновой и онлайновой) имеет для национальных банковских систем развивающихся стран одинаковые последствия. Сильные иностранные банки снимают сливки, привлекая самых надежных клиентов (как состоятельных индивидуальных вкладчиков, так и дочерние компании крупных западных корпораций) и сосредоточивая в своих руках высокоприбыльные операции по финансированию экспорта. Местным же банкам остается более рискованный бизнес, за счет чего повышается общий уровень системного риска в банковской сфере. Обострение конкуренции вынуждает ведущие национальные банки уделять серьезное внимание новым технологиям и создавать свои интернет-подразделения (в последнее время это характерно для банков Бразилии, Гонконга и Сингапура).

Перевод банковского дела в электронное измерение обусловливает модификацию классической взаимосвязи между ростом концентрации капитала и ослаблением конкуренции, причем оказываемое воздействие весьма неоднозначно. Развитие э-банкинга приносит значительные выгоды в первую очередь крупным банкам. Они получают возможность привлечь многих клиентов из сферы малого и среднего предпринимательства, традиционно тяготевших к малым и средним банкам (так как уменьшаются удельные расходы на обработку клиентской информации, необходимую для присвоения кредитного рейтинга). Следует подчеркнуть, однако, что этот эффект наиболее заметен в отношении стандартных ссуд (транзакционного типа). Что же касается иных видов кредита, базирующихся на тесных взаимоотношениях между банком и клиентом, то здесь указанная закономерность действует гораздо слабее. Далее, именно крупные банки обладают серьезными финансовыми ресурсами, необходимыми для комплексного внедрения новейших информационных технологий (особенно таких затратных инструментов, как электронные решения для управления взаимоотношениями с клиентами). Кроме того, они способны гораздо быстрее окупить расходы на подобные проекты, поскольку могут распределить их на множество клиентов, за счет чего повышение тарифов окажется незначительным. В то же время более широкие финансовые возможности крупного бизнеса не означают получения столь же масштабных преимуществ в уровне эффективности. Исследователи отмечают, что в 1990-е гг. в банковской сфере выявился своеобразный парадокс: интенсивность вложений в информационные технологии увеличивалась быстрее, чем производительность труда (так, в США среднегодовые темпы прироста этих показателей составили 11, 5 и 5, 6% соответственно - см. Olazabal N. Banking: The IT paradox // The McKinsey Quarterly. 2002. N 1).

С точки же зрения конкурентной ситуации картина еще сложнее. С одной стороны, конкуренция обостряется, поскольку снижаются входные рыночные барьеры (во-первых, Интернет не признает национальных границ и часовых поясов, и, во-вторых, повышается информационная прозрачность, в том числе за счет сокращения затрат клиентов на поиск необходимых сведений). С другой стороны, происходит ослабление конкуренции вследствие увеличения издержек на переход из одного банка в другой (высокоэффективные технологии позволяют предоставлять все более широким слоям клиентов персонально настроенные пакеты услуг, привязывая их таким способом к банку) и роста минимального уровня постоянных расходов, требуемых для реализации электронных бизнес-решений. Наконец, появление принципиально новых каналов финансового обслуживания, создаваемых в процессе вертикальной консолидации банков с нефинансовыми партнерами (такими как корпорации, действующие в сфере телекоммуникаций, медиа-бизнеса, розничной торговли и т. д.), способно кардинально изменить расстановку сил в банковской сфере, поскольку в этом случае будут преодолеваться уже не только межгосударственные, но и межотраслевые границы. Считается, что общим результатом все же станет ужесточение конкуренции.

Необходимо также отметить следующую важную особенность эволюции э-банкинга с точки зрения ориентации на разные сегменты клиентской базы. Первыми получили онлайновый доступ к банковскому обслуживанию крупные корпоративные клиенты (в 1980-1990-е гг. активно развивались закрытые электронные системы "Банк-Клиент"). Предоставление веб-услуг, однако, оказалось направленным в первую очередь на частных лиц, а среди юридических лиц быстрый перевод финансовых транзакций в глобальную сеть был начат компаниями малого и среднего бизнеса (поскольку операции у таких клиентов относительно простые). Чтобы успешно распространить интернет-сервис на сегмент крупных корпоративных клиентов, банки должны стандартизовать и интегрировать все свои программы по отдельным видам сложных операций и обеспечить доступ к этому комплексу через единый веб-интерфейс. Это непростая задача, так как у многих банков программное обеспечение (ПО) и операционные системы (ОС) для выполнения одних функций зачастую несовместимы с ПО и ОС, обслуживающими другие функции. К примеру, запрос на состояние счета или перевод денег через автоматическую клиринговую систему могут выполняться в одной ОС, торговля акциями - в другой, а международные расчеты - в третьей. Нередко эти ОС работают на разных серверах, дост уп к ним осуществляется при помощи различных интерфейсов, а информация хранится в базах данных, имеющих разнородный формат. Такого рода препятствия не являются непреодолимыми (главное средство решения проблем - создание специальных программных шлюзов), но их устранение требует времени и денег (см.: Zieger A. High Interest Rate // С10 Web Business Magazine. I November. 1999).Таким образом, новый способ проведения операций означает существенные перемены в деятельности банков. Естественно, это отражается на управлении рисками - важной составляющей современного банковского менеджмента.



Изменения в структуре банковского риска



Как известно, в документах Базельского комитета по банковскому надзору выделяются следующие категории риска, свойственные банковскому бизнесу: системный, стратегический, кредитный, страновый, рыночный, процентный, риск ликвидности, валютный, операционный, правовой, репутационный. Развитие электронного доступа к услугам банков не приводит к появлению каких-либо новых рисков, происходят лишь сдвиги в конфигурации банковского риска, т. е. в его внутренней структуре.

Исходя из отмеченных выше особенностей э-банкинга, можно указать на следующие направления изменений в сфере банковского риска:

сильная зависимость от прогресса информационных и коммуникационных технологий приводит к резкому усилению стратегического и операционного рисков;

динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий) обусловливает повышение значения стратегического риска;

рост ориентированности на потребности клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами) ведет к увеличению правового и репутационного рисков;

обострение конкуренции в банковском бизнесе влечет за собой повышение общего уровня системного риска;

выход за пределы отдельных национальных рынков и за пределы финансового сектора в целом означает усиление акцента на межстрановом и межсекторном аспектах банковского риска (см. Electronic Banking aus bankenaufsichtlicher Perspektive // Monatsberichte der Deutschen Bundesbank. Dezember 2000).

Поскольку новых видов риска не возникает, нет необходимости и во введении в управление рисками каких-либо дополнительных элементов помимо тех, что уже имеются в распоряжении банков (управление рисками включает в себя оценку рисков, контроль над ними и мониторинг рисков). По мнению Базельского комитета, банки должны усилить внимание к проблемам, возникающим в связи с повышением уровня определенных видов риска, а регулирующие органы - выработать принципы банковского надзора, учитывающие специфику электронных банковских услуг.

Рассмотрим подробнее те сложности, с которыми сталкиваются банки, развивающие электронный сервис. В настоящее время эксперты единодушно уделяют главное внимание стратегическому риску. Этот вид риска возникает в связи с возможностью принятия ошибочных управленческих решений в отношении опоры на то или иное информационно-технологическое направление (такие решения относятся к стратегическим, поскольку их результаты оказывают непосредственное влияние на рыночную стоимость бизнеса). Банк, взявший на вооружение формирующую стратегию и играющий роль ИТ-лидера, получает наибольшие прибыли в случае верного выбора (поскольку снимает сливки на быстрорастущем сегменте финансового рынка), но он же терпит и максимальные убытки, если сделанные им высокие ставки - крупные стратегические инвестиции в ту или иную технологию - окажутся проигранными. Избрав адаптивную стратегию, т. е. взяв на себя роль ведомого, банк уменьшает свой стратегический риск с точки зрения капитальных расходов, но увеличивает его с точки зрения доходов - в результате наступления агрессивного лидера доля ведомого на рынке может сильно снизиться, а отсрочка в применении передовых технологий не позволит получить сколь-нибудь значительную выгоду от роста рынка, он будет уже близок к насыщению (см.: Courtney Н., Kirkland J., Viguene S. Strategy under uncertainty // The M cKinsey Quarterly. 2000. N 3).

В настоящее время та сфера информационных технологий, которая связана с банками, характеризуется достаточно высокой неопределенностью. Это касается технологической основы всех основных направлений банковской деятельности:

внутренних бизнес-процедур (среди множества электронных решений в таких областях, как бухгалтерский и операционный учет, документооборот, системы оценки кредитоспособности и доходности и т. п., необходимо выбрать те, которые не окажутся через несколько лет тупиковыми и несовместимыми с другими платформами);

управления отношениями с клиентами в целях укрепления их лояльности (требуется обеспечить клиентам возможность использования различных электронных средств взаимодействия с банком - мобильных телефонов, интерактивных телевизионных устройств, электронных органайзеров и др., окончательные перспективы применения которых остаются неясными);

работы с электронными финансовыми инструментами и платежными/расчетными системами (их развитие, по сути, только начинается и оценка таящегося в них потенциала является настоящим искусством).

Поэтому ответственность банковских топ-менеджеров за правильную оценку стратегического риска, контроль за его уровнем и мониторинг связанных с ним изменений весьма велики.

Следующая категория риска, привлекающая пристальное внимание специалистов, - операционный риск, т. е. вероятность образования убытков/недополучения прибылей вследствие сбоев в выполнении каждодневных, рутинных банковских операций. Применительно к э-банкингу выделяются три главные зоны операционного риска - функционирование системы безопасности, привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг), освоение новых технологий сотрудниками банка.

В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации (искажение, уничтожение, перехват данных или злоупотребление ими в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов) и отказы в функционировании банковских информационных систем (возникновение перегрузок из-за недостаточной мощности компьютерно-программных комплексов и целенаправленных атак на веб-серверы в форме лавин фальшивых запросов).

Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление ИТ-интенсивных банковских услуг через специализированные фирмы (в первую очередь банки сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки становятся в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут и не обладать достаточными знаниями о специфике банковского дела.

Сложность положения усугубляется тем, что привлеченные к оказанию услуг фирмы могут передать выполнение каких-либо функций на субподряд, в том числе и за границу. Кроме того, узость круга контрагентов, имеющих достаточный уровень квалификации, повышает степень концентрации риска.

Наконец, ускорение процесса модернизации информационных систем повышает требования к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более "умной" и производительной технологии оборачивается для работников и клиентов банков если не хаосом, то значительными проблемами.

Немалое значение в новых условиях приобретает правовой риск, возникающий вследствие нарушения законов и директив регулирующих органов, а также недостаточно четкого определения прав и обязанностей контрагентов. Юридические реалии оформляются медленнее, чем экономические, и это расхождение особенно заметно в такой динамичной сфере, как э-банкинг. Можно отметить следующие специфические для электронного банковского сервиса аспекты правового риска:

не во всех странах приняты законы об электронной подписи и о действительности договоров, заключаемых электронным способом;

в разных государствах неодинаково трактуется вопрос о подлежащей лицензированию банковской деятельности (например, надзорные органы могут потребовать получения лицензии от веб-сайта, рекламирующего услуги банка на том языке, который используется в данной стране, причем даже в том случае, когда до реальных операций дело еще не дошло);

возникают особые требования к соблюдению принципа "знай своего клиента", законодательно внедряемого в банковский бизнес в рамках борьбы с легализацией преступных доходов и терроризмом;

банкам становится труднее обеспечить диктуемый законом уровень защиты персональной клиентской информации (особенно если сайт банка связан с сайтом - агрегатором электронного финансового супермаркета);

банки, организовавшие удостоверяющие центры по выпуску сертификатов и подтверждению подлинности цифровой подписи, могут быть привлечены к юридической ответственности, если при использовании данных сертификатов участвующие в сделке стороны понесут убытки.

В эпоху быстрого развития электронного сервиса репутационный риск, реализующийся в сокращении клиентуры, оттоке вкладов, сбросе банковских акций вследствие формирования устойчивого негативного общественного мнения о деятельности банка, связан прежде всего с теми нарушениями в обслуживании клиентов, которые входят в указанные выше три зоны операционного риска. Особенность нового способа предоставления услуг состоит в том, что в условиях непосредственного веб-взаимодействия с клиентами сведения о возникновении сбоев в осуществлении электронных операций становятся известны практически сразу и распространяются гораздо быстрее, чем раньше.

Репутационный риск может существенно увеличиться, если информация о наличии таких проблем, предоставляемая публике, окажется недостаточной и/или несвоевременной, а также если плохо организован диалог с вкладчиками и заемщиками по электронной почте. В период привыкания к новым технологиям клиентура проявляет особую нервозность по отношению к любым событиям - не исключено, что риск данной категории у того или иного банка станет весьма заметным просто потому, что хакеры взломали сайт другого банка, предоставляющего те же или сходные оплайновые услуги.

Конечно, с появлением э-банкинга изменяются и другие отдельные категории риска - кредитный, процентный, валютный и т. д. Так, использование "мягких" процедур дистанционной оценки кредитоспособности потенциальных заемщиков или приобретение электронных денег у недостаточно надежного эмитента могут привести к повышению кредитного риска. Риск ликвидности и валютный риск становятся весьма актуальными для банков, осуществляющих значительные операции с цифровой наличностью, а рыночный риск требует особого внимания со стороны банков, развивающих программы секьюритизации ссуд через Интернет. Однако такого рода перемены не являются кардинальными и уступают по своему значению описанным выше сдвигам, происходящим в сферах стратегического, операционного, правового и репутационного рисков - именно на этих направлениях и должно концентрироваться управление рисками в современных коммерческих банках.

Что же касается центральных банков или других надзорных органов, то их внимание сосредоточивается на таких последствиях цифровизации банковского дела, как повышение системного риска и усиление глобализации. В связи с развитием первой тенденции активизируются теоретические исследования с целью разработки механизмов компенсации увеличившегося риска не только в самой банковской сфере (с учетом специфики универсальных банков, объединяющих три основные функции финансового посредничества - депозитно-ссудную, инвестиционную и эмиссионную, и особенностей банков, специализирующихся на выполнении отдельных функций), но и в системе взаимоотношений "финансы - промышленность".

В свою очередь, вторая тенденция стимулирует совершенствование практического сотрудничества нац иональных учреждений банковского надзора с надзорными органами не только зарубежных стран, но и других отраслей экономики. При этом необходимо, с одной стороны, обеспечивать упреждающее воздействие государственного регулирования и его нейтральность по отношению к конкурирующим технологиям и финансовым институтам, а с другой стороны, избегать ненужного сдерживания технологического прогресса и содействовать формированию грамотной в электронном смысле банковской клиентуры.



Управление рисками.



Базельский комитет по банковскому надзору при Банке международных расчетов сформулировал 14 принципов управления рисками в сфере электронных банковских услуг. Свод этих правил не является обязательной для исполнения директивой, однако де-факто все солидные банки в развитых странах соблюдают данные требования. Принципы управления рисками сгруппированы в три крупные категории.

А. Надзор со стороны высшего руководства банка (принципы 1-3)

Прежде чем банк начнет предоставлять клиентам электронные услуги, совет директоров и правление должны принять четко сформулированное стратегическое решение по этому вопросу. Следует согласовать планы развития данного направления с общекорпоративными стратегическими задачами, провести анализ рисков и разработать мероприятия по их мониторингу и снижению, а также разработать принципы непрерывной оценки эффективности веб-сервиса.

1. Создание эффективной системы наблюдения за операциями, совершаемыми электронным способом.

Новые проекты в сфере э-банкинга, которые могут оказать значительное влияние на конфигурацию банковского риска и реализацию принятой стратегии, должны рассматриваться на заседаниях совета директоров и правления и подвергаться глубокому стратегическому анализу и детальной оценке с точки зрения соотношения ожидаемых затрат и результатов. После завершения проектов следует проводить их ретроспективный анализ. Руководство банка не имеет права приступать к электронному обслуживанию клиентов, не обеспечив необходимого уровня квалификации менеджеров и персонала в сфере новых технологий, в том числе и в тех случаях, когда для проведения тех или иных операций привлекаются сторонние организации. Управленческий надзор должен быть предельно динамичным и способным незамедлительно и эффективно реагировать на любые проблемы; для этого необходимо создать систему оповещения руководящих органов о возникновении инцидентов в рассматриваемой области. Совет директоров и правление обязаны добиться интеграции процесса управления рисками в сфере онлайновых услуг в общий механизм управления банковскими рисками. Комплекс вопросов, связанных с электронным выходом за границу, требует особого внимания руководства.

2. Внедрение всесторонней процедуры контроля над поддержанием необходимого уровня информационно-технологической безопасности.

Обеспечение сохранности банковских активов - одна из важнейших обязанностей, возложенных на директоров и топ-менеджеров. Для выполнения этой задачи нужно сосредоточить усилия на следующих ключевых направлениях: назначение конкретных лиц (иных, нежели аудиторы), несущих ответственность за положение дел в данной области; формулировка жестких правил, позволяющих следить за попытками вторжения в коммуникационные сети и предотвращать несанкционированный доступ (как физический, так и в рамках регистрации входа) к компьютерной технике, программному обеспечению для веб-транзакций и базам данных; регулярный пересмотр мер по обеспечению безопасности с целью внедрения новейших технологических достижений и своевременной модернизации используемых программ.

***

Доклады и исследования, посвященные различным аспектам проблемы рисков в сфере электронных банковских услуг

Базельский комитет по банковскому надзору: "Risk Management for Electronic Banking and Electronic Money Activities". March 1998; "Cross-Border Electronic Banking Issues for Bank Supervisors". September 2000; "Electronic Banking Risk Management Issues for Bank Supervisors". October 2000; "Risk Management Principles for Electronic Banking". May 2001.

Международный валютный фонд: "Internat ional Capital Markets: Developments, Prospects and Key Policy Issues". September 2000.

Группа десяти: "Report on Consolidation in the Financial Sector". January 2001.

Федеральный союз германских банков: "Studie zum Internet-Ontine-Banking/e-Commerce". Oktober 2000; "E-Commerce als Bankdienstteistung". Oktober 2000.

Федеральный банк Германии: "Electronic Banking aus bankenautsichtlicher Perspektive". Dezember 2000.

FUch IBCA: "Internet Banking: Separating the Myths from Reality". May 2000.

Standard & Poor's: "European Banks Face Up to the Internet". August 2000.

***

3. Организация режима тщательного слежения за взаимодействием с партнерами, привлекаемыми к предоставлению отдельных видов электронных банковских услуг.

Руководящим органам банка следует осуществлять постоянную оценку и переоценку уровня сотрудничества со специализированными сервис-провайдерами. При этом члены совета директоров и правления должны четко осознавать связанные с аутсорсингом риски; в обязательном порядке проводить предварительный анализ степени профессионализма и финансового положения предполагаемых контрагентов; точно формулировать пределы ответственности обеих сторон при заключении контрактов (особенно по порядку предоставления информации); установить практику проведения периодических аудиторских проверок в отношении переданных на сторону систем и операций и включить их в действующую систему управления рисками; разработать план мероприятий на случай возникновения чрезвычайных ситуаций в деятельности привлеченных к оказанию электронного сервиса партнеров.

Б. Обеспечение безопасности в сфере информационных технологий (принципы 4-10)

Если высшее руководство банка определяет общую политику в области информационно-технологической безопасности, то непосредственным построением соответствующих систем занимаются специалисты среднего звена, чье внимание сосредоточено на реализации следующих принципов.

4. Аутентификация клиентов, пользующихся электронными каналами обслуживания.

Аутентификация означает идентификацию клиента (удостоверение подлинности лица, совершающего онлайновую транзакцию) в сочетании с авторизацией (установление легитимности доступа данного лица к банковскому счету или наличия у него права на проведение операций по счету). Она осуществляется посредством персональных идентификационных номеров (ПИНов), паролей, смарт-карточек, биометрики (сканирования лица и радужной оболочки глаз, отпечатков пальцев, анализа голосовых данных и т.п.) и сертификатов цифровой подписи на базе инфраструктуры открытого ключа. Многофакторная аутентификация (с использованием нескольких методов) обеспечивает более высокий уровень защиты, что особенно важно при распространении электронных банковских услуг на иностранных клиентов. Аутентификационные базы данных необходимо ограждать от подделок, искажений и хищений, а попытки подобных действий - обязательно документировать.Любые изменения в эти базы следует вносить исключительно с санкции соответствующего источника. Подключение к системам э-банкинга должно тщательно контролироваться (чтобы предотвратить замещение прошедших аутентификацию клиентов третьими лицами), а в случае срыва веб-сеанса нужно проводить повторную аутентификацию.

5. Недопущение отказа от обязательств по онлайновым транзакциям и строгая ответственность за их проведение.

В настоящее время наиболее надежным способом избежать недобросовестного сторнирования электронных сделок является использование сертификатов цифровой подписи на базе инфраструктуры открытого ключа, в рамках которой каждый контрагент имеет свою пару ключей (шифров). Посредством секретного ключа генерируется цифровая подпись и зашифровывается текст, а с помощью открытого ключа (парного к секретному) осуществляется расшифровка и проверка подлинности документа. Банк может сам стать удостоверяющим центром по выпуску сертификатов или прибегнуть к услугам независимых центров (в последнем случае необходимо выбирать такие организации, которые обеспечивают тот же уровень аутентификации, что и банк).

6. Разграничение функций, выполняе мых банковскими служащими при работе в системах э-банкинга, с базами данных и приложениями.

Нельзя предоставлять одному лицу или сервис-партнеру права на инициирование, авторизацию и завершение транзакции. Разные сотрудники должны заниматься подготовкой информации (например, содержания веб-сайта) и проверкой ее целостности, а также разработкой и администрированием систем электронного сервиса, причем следует обеспечить невозможность обойти принцип разграничения функций в этих системах.

7. Эффективный контроль над процедурами авторизации и получения доступа в системы э-банкинга, базы данных и прикладные программы.

Главное в организации такого контроля - гарантировать сохранность баз данных, в которых хранится информация о правах на авторизацию и доступ к проведению тех или иных операций. Для этого используются те же методы, что и при защите аутентификационных баз данных.

8. Обеспечение целостности данных по операциям и записям в сфере онлайновых услуг.

Все осуществляемые в рамках банковского интернет-сервиса процессы должны быть устроены таким образом, чтобы достигалась повышенная устойчивость транзакций и записей к хищениям и искажениям и имелась практически полная гарантия того, что любые несанкционированные изменения не останутся незамеченными. Целостность данных необходимо контролировать особенно тщательно в периоды модернизации используемых в банке компьютерных систем и программ.

9. Точный учет транзакций, совершаемых электронным способом.

Критически важным представляется учет в следующих областях: открытие, изменение и закрытие клиентского счета; проведение операции, отражающейся на состоянии банковского баланса; разрешение превысить ранее оговоренный с клиентом лимит: предоставление, модификация или аннулирование права на доступ в систему э-банкинга.

10. Сохранение конфиденциальности ключевой банковской информации.

Все конфиденциальные данные и записи должны быть защищены во время передачи по открытым, закрытым и внутрибанковским коммуникационным сетям и доступны только лицам, агентам и системам, имеющим соответствующие полномочия и прошедшим процедуру аутентификации. Используемые банком стандарты по обеспечению конфиденциальности следует распространить и на сторонние организации, привлекаемые к оказанию электронных услуг. Все случаи доступа к такого рода данным и записям необходимо регистрировать, а регистрационным файлам нужно придать повышенную устойчивость к хищениям и искажениям.

В. Управление правовым и репутационным риском (принципы 11-14)

11. Раскрытие необходимой информации относительно электронного банковского сервиса на веб-сайте банка.

Нужно указать следующие сведения: название банка и местонахождение его штаб-квартиры и филиалов; название надзорного органа, контролирующего деятельность головного офиса; контактная информация относительно банковского центра по обслуживанию клиентов; порядок подачи жалоб; порядок получения информации о страховании депозитов; прочие необходимые сведения (например, перечень стран, в которых предоставляется электронный сервис).

12. Предотвращение несанкционированного доступа к клиентской информации.

Стандарты использования информации о клиентах, накапливаемой банком в процессе оказания онлайновых услуг, должны соответствовать всем требованиям законодательства тех государств, на которые распространяется веб-обслуживание. Сервис-провайдерам, с которыми сотрудничает банк, также следует придерживаться этих стандартов. Банк обязан дать своим вкладчикам и заемщикам право запретить передачу сведений о себе третьим лицам, желающим использовать их в маркетинговых целях.

13. Содержание систем э-банкинга в постоянной эксплуатационной готовности.

Требуется обеспечить необходимые мощности для электронного сервиса и его непрерывное функционирование, а также разработать комплекс мер на случай возникновения чрезвычайного положения. На критически важных направлениях развития онлайновых услуг должны проводиться постоянные оценки и переоценки имеющихся мощностей и разрабатываться прогнозы их динамики в будущем. Системы следует периодически испыты вать на устойчивость к стрессовым ситуациям.

14. Создание эффективного механизма реагирования на неожиданные инциденты в форме внешних и внутренних атак на системы, э-банкинга.

Для улаживания тех или иных происшествий в банке должны быть разработаны планы действий в следующих областях: немедленное выявление кризисной ситуации и определение размеров угрозы: восстановление электронных систем (в том числе и тех, что переданы внешним исполнителям) в соответствии с различными сценариями развития событий (включая оценку вероятности разных вариантов); взаимодействие с участниками рынка и средствами массовой информации; уведомление руководства банка и государственных регулирующих органов; формирование команд специалистов с особыми полномочиями и порядка подчиненности сотрудников, задействованных в ликвидации проблем; своевременное снабжение всех заинтересованных сторон необходимыми сведениями в продолжение всего инцидента; сбор и хранение данных для анализа кризиса после его завершения и наказания виновных.

Таким образом, основное внимание в документе Базельского комитета по банковскому надзору уделяется обеспечению информационно-технологической безопасности электронных услуг. Специалисты по этим вопросам становятся признанными членами элитарного клуба в служебной иерархии и наравне с финансовыми гениями участвуют в формировании банковской стратегии. В некоторых странах надзорные органы считают нужным перевести правила информационной защиты из разряда рекомендательных в разряд обязательных. Так, Федеральный банк Германии в декабре 2000 г. приступил к созданию документа "Минимальные требования к э-банкингу", описывающего необходимый уровень организации данной сферы по шести основным направлениям. К ним относятся: разработка концепции безопасности и ее согласование с общей стратегией развития банка; выявление и исследование важнейших категорий риска и создание инструкций для персонала, работающего в зонах риска; обучение клиентов правилам обращения с различными средствами электронной защиты; обеспечение соответствующего уровня квалификации сотрудников банка и ключевых менеджеров; углубленный анализ рисков и планирование обязательных мероприятий в области взаимодействия с внешними исполнителями отдельных функций; внутренняя организация информационно-технологического подразделения банка (характеристики сетевой инфраструктуры, особенности используемых электронных платформ, устройство интерфейсов между системами э-банкинга и другими используемыми в банке системами, разграничение опытных и эксплуатируемых мощностей, функционирование межсетевых экранов и процедура отражения внешних атак).

Столь серьезный подход надзорных органов к проблеме управления рисками в сфере электронных банковских услуг позволяет надеяться, что коммерческие банки получат возможность достаточно уверенно развивать интернет-сервис, получающий все более широкое признание, и их онлайновые подразделения смогут избежать печальной участи других "дот-комов".

Об авторе:

Грачева Мария Владимировна - старший научный сотрудник Института мировой экономики и международных отношений РАН, ответственный редактор журнала "Вестник McKinsey", канд. экон. наук.