Мои Конспекты
Главная | Обратная связь


Автомобили
Астрономия
Биология
География
Дом и сад
Другие языки
Другое
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Металлургия
Механика
Образование
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Туризм
Физика
Философия
Финансы
Химия
Черчение
Экология
Экономика
Электроника

АНАЛИЗ РИСКОВ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ



 

В условиях российского банковского законодательства, которое нуждается в совершенствовании, нововведения, основанные на использовании возможностей информационных технологий и средств связи, могут выйти за границы так называемого «правового поля» и привести в итоге к значительным финансовым потерям в случаях проявления различных источников сопутствующих рисков. Закономерно, что с ростом числа клиентов, использующих системы электронного банкинга, становятся актуальными вопросы, связанные с совершенствованием методологии управления банковскими рисками, в основе которых лежат особенности функционирования систем электронного банкинга.

Необходимость детального изучения всех возможных последствий внедрения российскими кредитными организациями систем электронного банкинга вызвано принципиальными изменениями в информационном контуре банковской деятельности и появлением в нём новых участников. Речь идет о провайдерах услуг и каналах связи, от надежности которых существенно зависит непрерывность выполнения банковских операций в рамках электронного банкинга. Дополнительным отличием информационного контура банковской деятельности электронного банкинга от классического (где все первичные документы заполнялись сотрудником банка или под его непосредственном контролем) является совершенно иное позиционирование клиентов, которые, по сути, сами становятся операционистами.

Отдельно следует обозначить проблему использования систем электронного банкинга в противоправных целях. Виртуальный характер проведения финансовых транзакций и независимость от местонахождения клиента банка создали для этого максимально благоприятные условия.

Именно способы проведения банковских операций и зависимость кредитных организаций от различного рода провайдеров потребовало существенного пересмотра методологии учета и минимизации последствий проявления источников рисков, связанных с использованием кредитными организациями систем электронного банкинга (далее – риски электронного банкинга).

В результате активного использования в банковском бизнесе глобальной сети Интернет и средств телекоммуникаций непрерывность процесса выполнения банковских операций стали в существенной степени зависеть от надежности различного рода провайдеров и аппаратно- программного обеспечения систем электронного банкинга. Вследствие этого возникла необходимость:

- адаптации систем внутреннего контроля кредитных организаций под современные условия ДБО;

- качественного иного уровня обеспечения информационной безопасности в связи с возрастанием угроз со стороны киберпреступников;

- модернизации мер контроля мероприятий по противодействию легализации доходов, полученных преступным путем, и финансирования терроризма;

- совершенствования подготовки обслуживающего персонала банка, занятого в процессе учета и обработки операций с использованием систем электронного банкинга;

- кардинального пересмотра подходов к управлению рисками, возникающими в кредитных организациях при использовании ими систем электронного банкинга.

Разработка подходов к управлению рисками в условиях электронного банкинга является на сегодняшний день одной из первостепенных задач в российском банковском бизнесе. Ее решение может не только обеспечить кредитным организациям эффективное управление рисками электронного банкинга, но и повысит уровень доверия клиентов к данному виду ДБО и к российской банковской системе в целом.

В следствии анализа рисков ДБО, выявлены следующие проблемы:

- отсутствием комплексных научных исследований и методических разработок, обеспечивающих эффективный процесс управления рисками в условиях широкомасштабного внедрения в российских кредитных организациях технологий ДБО, среди которых лидирующие позиции занимают системы электронного банкинга;

- необходимостью теоретического переосмысления подходов к организации внутреннего контроля в кредитных организациях при использовании ими систем электронного банкинга;

- потребностями совершенствования механизмов финансового мониторинга в условиях электронного банкинга.

Изучение отечественной и зарубежной научной литературы по теме диссертации показало, что фундаментальные исследования методологии управления банковскими рисками в условиях электронного банкинга не проводились.

Рекомендации американских и европейских авторов сложно использовать в российской практике, т.к. российский банковский бизнес находится в менее развитом «правовом поле» (отсутствует система подготовки банковских специалистов по направлениям ДБО, контролирующие и надзорные органы недостаточно методически обеспечены для эффективного осуществления своих функций в условиях электронного банкинга, а правоохранительные органы не имеют достаточного опыта для быстрого раскрытия компьютерных преступлений и т.д.). Данные рекомендации можно рассматривать только в контексте общего функционирования мировых банковских систем, без учета особенностей российского банковского сектора и внутренней среды отечественных банков.

Влияние технологии ДБО нельзя не учитывать при рассмотрении качественного аспекта поступательного развития кредита. В Российской Федерации должны быть созданы условия для применения в кредитной деятельности банков электронных технологий и способов минимизации банковских рисков, обеспечивающие переход к развитой системе риск- менеджмента.

Поэтому, исходя из всей деловой активности, которая необходима банку для выполнения своих функций финансового посредника, а также с позиции учета возможного проявления различного рода источников рисков данного способа ДБО, можно предложить следующее определение электронного банкинга: совокупность различных способов ДБО, включая информационные, коммуникационные и операционные услуги, в основе которых лежат возможности интернет-технологий и сотовой связи. Приведенное определение включает в себя возможность учета всех факторов риска, свойственных электронному банкингу и ДБО в целом.

На современном этапе развития технологий банковского регулирования и надзора за рубежом основной акцент делается на риски, связанные с технологическим прогрессом в банковской сфере.

Управление контролера денежного обращения США1 в качестве критериев для выявления состава рисков, на которые в большей степени оказывают влияние системы электронного банкинга, выделяет:

- зависимость от поставщиков и провайдеров;

- уровень обеспечения безопасности, целостности и конфиденциальности банковских данных;

- наличие процессов авторизации, аутентификации и подтверждение достоверности и прав пользователя;

- наличие стратегии ведения дела и планирование непрерывности деловых операций;

- допустимость проведения тех или иных операций и степень урегулирования правовых вопросов;

- защищенность от компьютерных преступлений и противодействие участию в схемах, направленных на отмывание денег.

 

 

Рис. … Схема взаимодействия регулятора, кредитных организаций и провайдеров при использовании систем электронного банкинга

Базельский комитет по банковскому надзору выделяет риски, характеризующие электронную обработку данных в банках. Это риски непредусмотренного раскрытия информации, ошибок, мошенничества, прерывания операций, неэффективного планирования и риски, связанные с действиями клиентов. Альтернативный подход разработан Банком Нидерландов, где в качестве критериев оценки рисков, связанных с банковскими информационными системами выделяют:

- недостатки в стратегии развития информационных технологий и ее несоответствие корпоративным целям (стратегический риск);

- недостаточную гибкость и обеспечение информационных технологий и отдельных технологических решений (риск управляемости);

- недостаточную защиту от несанкционированного доступа к системам и отдельным средствам в их составе (риск эксклюзивности);

- неточность, неполноту информации или несвоевременность ее поступления (риск целостности);

- недостаточную доступность и функциональность средств контроля (риск контролируемости);

- недостаточную доступность для работы самих информационных технологий (риск непрерывности);

- неправильное использование информационных технологий (риск пользователя).

Разнообразие подходов свидетельствует о том, что единой законченной теории банковских рисков нет даже в тех странах, где история банковского дела началась значительно раньше, чем в России.

Изучение зарубежного опыта и обобщение российской практики привели автора к выводу о том, что дальнейшее углубление классификации виды рисков не целесообразно, т.к. вполне достаточно определить те новые источники типичных банковских рисков, которые необходимо учитывать в рамках риск - ориентированного управления. В процессе анализа рисков выявлено, что основными факторами, повышающими уровни банковских рисков при использовании систем электронного банкинга являются:

- «виртуальный» характер дистанционных банковских операций;

- доступность «открытых» телекоммуникационных систем;

- чрезвычайно высокая скорость выполнения транзакций;

- глобальный характер межсетевого операционного взаимодействия;

- участие компаний-провайдеров в реализации ДБО;

- возможность использования систем электронного банкинга для противоправной деятельности.

Новая среда возникновения источников банковских рисков в большей степени оказала влияние на расширение профилей операционного, правового, репутационного, стратегического рисков и риска ликвидности. С учетом наиболее характерных источников рисков, возникающих в условиях электронного банкинга, в диссертации разработаны расширенные определения вышеперечисленных рисков:

1) Операционный риск – возможные текущие и перспективные финансовые потери, обусловленные ошибками при выполнении банковских операций вследствие мошеннических действий в отношении кредитной организации (включая несанкционированные транзакции, хищения финансовых средств в электронной форме и пр.), а также нарушений непрерывности и/или нештатным функционированием автоматизированных систем кредитной организации, используемых для осуществления банковской деятельности (с учетом возможных аварий, отказов и сбоев оборудования кредитной организации и провайдеров необходимых ей услуг, в каналах связи и т.п.).

2) Риск ликвидности – возможные в перспективе финансовые потери, обусловленные неспособностью кредитной организации своевременно и полностью выполнить свои обязательства перед клиентами из-за изменения характеристик управления ликвидностью в условиях открытого сетевого взаимодействия.

3) Правовой риск – возможные финансовые потери, обусловленные нарушением кредитной организацией положений нормативно- инструктивных документов, регламентирующих банковскую деятельность, и/или законодательной неопределенностью отдельных аспектов предоставления банковских услуг.

4) Риск репутации – возможные в перспективе финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за нарушения ею каких-либо обязательств перед клиентами.

5) Стратегический риск – возможные в перспективе финансовые потери, обусловленные неправильными деловыми решениями в кредитной организации, что приводит к невозможности достижения ею своих бизнес - целей и/или чрезмерным затратам на внедрение и сопровождение используемых банковских технологий. Учитывая трансграничный характер операций, выполняемых с использованием систем электронного банкинга и значительный рост числа клиентов, использующих для своих операций системы электронного банкинга, в последнее время заметно увеличилось число компонентов странового риска.

Основными причинами повышенного внимания Банка России к ДБО являются «виртуальная» форма совершаемых банковских операций (каждая проводка выражается в мгновенном изменении содержания центральной базы банковских данных), снижение надежности и устойчивости коммерческих банков, а также банковской системы в целом (любые технологические нововведения повышают и усложняют банковские риски). При этом независимо от конкретных организационных и технологических решений, внедрение систем электронного банкинга должно обеспечивать:

- полную функциональность, предполагавшуюся при проектировании и предлагаемую клиентам;

- непрерывность функционирования системы электронного банкинга;

- контроль над функционированием системы со стороны руководства кредитной организации;

- защиту банковской и клиентской информации от искажения, уничтожения и хищения;

- соблюдение всех требований, регламентирующих выполнение банковских операций. Проверка выполнения банками этих требований является прерогативой подразделений инспектирования кредитных организаций, а информация (собранная во время проверок) должна обеспечивать проведение анализа ситуации в кредитной организации с позиций риск - ориентированного надзора подразделениями «дистанционного» надзора.

В настоящее время методики проверок кредитных организаций уполномоченными представителями Банка России не содержат отдельных положений, связанных с особенностями функционирования систем электронного банкинга, включая аппаратно - программное обеспечение, находящееся на стороне провайдеров. Методическое обеспечение надзорных подразделений должно обеспечивать проведение полноценного контроля за качеством функционирования систем электронного банкинга. Регулятор должен обладать не только информационной базой по материалам инспекционных проверок, но и располагать необходимыми сведениями о всех фирмах-разработчиках программного обеспечения для систем электронного банкинга и провайдерах, задействованных в информационном контуре банковской деятельности (включая фирмы и компании, работающие за пределами Российской Федерации).

В связи с внедрением кредитными организациями систем электронного банкинга возникают ранее не учитываемые источники угроз, способные создать банку дополнительные проблемы, связанные со снижением уровня надежности банковских автоматизированных систем и угрозами безопасности информационных ресурсов (включая аппаратно-программное обеспечение, находящееся на стороне провайдеров услуг). Для перехода на новый качественный уровень управления рисками электронного банкинга не следует ограничиваться только выявлением причин и определением размеров возможных финансовых потерь. Необходимо рассматривать проблемы, связанные с электронным банкингом, шире, выходя за рамки привычных методов учета рисков и в качестве итоговых оценок рассматривать риски, связанные с системными характеристиками и показателями (т.е. риски системного уровня): возможность продолжения функционирования банка и выполнение им функций финансового посредника в неизменном или измененном масштабе, временный запрет на выполнение определенного вида банковских операций, введение временной администрации, отзыв лицензии на банковскую деятельность.

Иерархию рисков предлагается представлять в виде трех уровней: системный банковский риск (далее – СБР), типичный банковский риск (далее - ТБР) и элементарный банковский риск (далее - ЭБР). Отсюда обобщенная иерархическая схема для выявления, анализа и мониторинга банковских рисков будет иметь следующий вид (рис. 5).

 

 

Рис. … Иерархическая схема банковских рисков

 

Эта схема пригодна также для планирования и реализации управления банковскими рисками на разных уровнях от источников их возникновения до возможных последствий.

Количество источников ЭБР для каждого из ТБР различно, так как они имеют совершенно разную природу. Каждый ЭБР отражает некий выявляемый факт, каждый ТБР – какое-либо событие в кредитной организации, образуемое совокупностью фактов и связанное с финансовыми потерями, а СБР описывает некоторую итоговую рисковую ситуацию.

Поиск источников ЭБР и дальнейшее выстраивание причинно- следственных связей представляет наиболее сложную задачу для адекватной оценки. Схема выявления, оценивания и анализа рисков отображена на рис. 6.

 

 

Рис. … Схема выявления, оценивания и анализа рисков

 

При оценивании банковских рисков возможны как качественный, так и количественный подходы.

Качественный подход принят практически во всех зарубежных органах банковского надзора. Он позволяет получать обобщенные оценки в виде градаций уровней рисков, причем сами градации устанавливаются на основе экспертных оценок в достаточно широких интервалах. Вследствие этого оказывается невозможно установить конкретное выражение негативного влияния банковских рисков на финансовое состояние кредитной организации.

Количественный подход предполагает конкретизацию финансового ущерба с последующим сопоставлением его с финансовыми ресурсами кредитной организации и их конкурентным положением на рынке финансовых услуг.

Если исходить из задач Банка России по поддержанию устойчивости и надежности банковской системы, то с позиций риск - ориентированного надзора вместе с внедрением систем электронного банкинга у банковского надзора и банковского инспектирования возникают новые задачи. Задачу банковского риск - ориентированного надзора в части электронного банкинга можно определить как: сбор информации, необходимой для оценки риска применения систем электронного банкинга, а также выработки рекомендаций по совершенствованию данного вида ДБО и оптимизации условий его применения.

Надзорная деятельность связана с изначальным формированием, сопровождением и поддержанием в актуальном состоянии общей картины развития, применения и распространения систем электронного банкинга. Такая информация нужна не только для руководства и заинтересованных подразделений Банка России, но и для последующей подготовки и проведения проверок кредитных организаций, использующих системы электронного банкинга. Исходя из этого задачу банковского инспектирования с позиций риск - ориентированного надзора можно сформулировать так: сбор информации, необходимой для оценивания уровня риска применения систем электронного банкинга, принимаемого на себя кредитной организацией в процессе использования данного вида ДБО.

Система внутреннего контроля кредитной организации играет особую роль в организации контроля рисков электронного банкинга, центральным звеном этой системы является Служба внутреннего контроля. Кроме контрольных функций, система внутреннего контроля информирует топ- менеджмент кредитной организации об отклонениях от установленных регламентов, а также отслеживает приемлемый уровень банковских рисков.

Для организации контроля систем электронного банкинга со стороны Службы внутреннего контроля предлагается использовать модель жизненного цикла системы электронного банкинга, в основе которой лежит детализированная модель непрерывного циклического процесса менеджмента (модель Деминга)1 . Определение жизненного цикла системы электронного банкинга можно сформулировать как: совокупность взаимосвязанных процессов и процедур, направленных на поддержание непрерывности функционирования системы электронного банкинга на протяжении всего периода эксплуатации данной системы (от начальной стадии, на которой принимается решение о внедрении системы электронного банкинга, и до модернизации уже действующей системы или прекращения ее использования).

 

 

Рис. … Схема жизненного цикла системы электронного банкинга

 

 

Рис. … Анализ источников типичных банковских рисков на этапах обоснования и принятия решения о новом проекте системы электронного банкинга

 

На рисунках 8-12 приведены примеры анализа источников типичных банковских рисков и возможные последствия для кредитной организации. Подобные схемы могут составлять основу методик проведения проверок Службы внутреннего контроля.

 

 

Рис. 9. Анализ источников типичных банковских рисков на этапе разработки системы электронного банкинга

 

 

Рис. 10. Анализ источников типичных банковских рисков на этапах планирования реализации проекта и проектирования системы электронного банкинга

 

Минимизировать риски, связанные с использованием в кредитных организациях систем электронного банкинга, можно с помощью различных методов, в том числе с учетом анализа отдельных показателей при проведении стресс-тестирования аппаратно-программного обеспечения данного вида ДБО1 . Сегодня в международной банковской практике используются различные методики стресс-тестирования, наиболее распространенной из которых является сценарный анализ (на основе исторических или гипотетических событий).

 

 

Рис. 11. Анализ источников типичных банковских рисков на этапе испытаний и приемки системы электронного банкинга

 

 

Рис. 12. Анализ источников типичных банковских рисков на этапе эксплуатации системы электронного банкинга

 

Применительно к системам электронного банкинга в ходе стресс- тестирования могут рассматриваться следующие сценарии: - внешние воздействия (наводнения, пожары, аварии и т.п.);

- сбои в работе систем электроснабжения;

- внутренние и внешние мошенничества;

- ошибки персонала (умышленные и неумышленные);

- сбои в реализации бизнес-процессов и обслуживании клиентов;

- сбои в работе телекоммуникационных систем;

- нарушение процессов обработки и хранения данных.

 

 

Рис. 13. Порядок использования результатов стресс-тестирования

 

Также может проводиться анализ чувствительности системы электронного банкинга к различным внутренним и внешним угрозам, исходя из самых уязвимых мест в применяемом аппаратно-программном обеспечении данного вида ДБО. Стресс-тестирование включает в себя компоненты как количественного, так и качественного анализа.

Рост количества клиентов, желающих использовать систему электронного банкинга для осуществления своих операций, приводит к тому, что перед кредитной организацией встает вопрос: или расширять свои IT- подразделения (в том числе и закупать дополнительное аппаратно- программное обеспечение, совершенствовать банковскую автоматизированную систему, готовить персонал и т.д.) или прибегать к аутсорсингу.

Осуществление ДБО с помощью провайдеров приводит к значительным изменениям в профилях типичных банковских рисков. Необходимо также учитывать, что если кредитные организации концентрируются в основном вокруг небольшой группы провайдеров, то проблемы, возникшие у одного провайдера, могут вызвать проблемы у целой группы банков. Анализ зарубежных источников по тематике осуществления надзора за провайдерами позволил выделить ряд рекомендаций для российских кредитных организаций.

При проведении отбора провайдера следует обращать внимание на следующие факторы:

- срок работы провайдера на соответствующем сервисном рынке;

- качественный уровень профессиональной подготовки специалистов провайдера (наличие сертификатов, дипломов и других документов, подтверждающих факт получения образования);

- скорость реакции на инциденты, связанные с нарушением непрерывности функционирования системы электронного банкинга;

- возможность осуществления кредитной организацией контроля за обеспечением должного уровня информационной безопасности провайдера с целью предотвращения утечки сведений, составляющих коммерческую и банковскую тайны клиентов кредитной организации.

Учитывая недостаточный уровень качества договоров, заключаемых коммерческими банками с провайдерами1 , предлагается дополнять их (по крайней мере) следующими положениями:

- время прибытия специалиста провайдера в случае возникновения нештатной ситуации;

- время, потраченное на восстановление работоспособности системы электронного банкинга;

- соответствие квалификации специалистов компании-провайдера ранее заявленной.

В целях повышения эффективности банковского надзора в ряде стран с развитой рыночной экономикой в последние годы введено регулирование аутсорсинга в банковской и финансовой сферах. Существующее регулирование затрагивает в основном такие вопросы, как управление рисками при аутсорсинге, требования к договорам (соглашениям) об аутсорсинге, определения видов деятельности, не подлежащих аутсорсингу и другие. Например, в Австралии с 1 июля 2002 г. введены в действие пруденциальные стандарты по аутсорсингу для банков. В Канаде в декабре 2003 г. были разработаны рекомендации по аутсорсингу для финансовых институтов, деятельность которых регулируется федеральными надзорными органами. Во Франции с начала 2005 г. действуют специальные требования к аутсорсингу основных видов деятельности. В Японии в апреле 2001 г. выпущены рекомендации по управлению рисками, связанными с аутсорсингом для финансовых институтов.

Обобщая рекомендации, изложенные в вышеперечисленных документах, выделены направления оценки банками контрагентов, предоставляющих услуги на основе аутсорсинга:

- лицензионные данные;

- финансовое состояние;

- история, опыт и перспективы деятельности;

- обеспечение информационной безопасности;

- состав аппаратно-программного обеспечения;

- квалификация основного персонала;

- средства обеспечения непрерывности функционирования;

- организация внутреннего контроля;

- содержание планов на случай чрезвычайных обстоятельств;

- наличие и содержание субконтрактов на аутсорсинг;

- результаты аудиторских проверок.

В Российской Федерации провайдеры в настоящее время находятся вне зоны контроля и правового регулирования со стороны Банка России или иного органа, проводящего согласованную с Банком России политику. В связи с этим предлагается внести соответствующие изменения в федеральные законы «О банках и банковской деятельности» и «О Центральном банке Российской Федерации (Банке России)», чтобы предоставить Банку России возможность осуществлять надзорные мероприятия в отношении компаний- провайдеров.

На основе проведенного исследования было выявлено, что к банковским рискам, на которые в большей степени оказывает влияние применение аутсорсинга в условиях электронного банкинга, относятся: операционный, правовой, стратегический риски, риск потери деловой репутации (репутационный риск) и риск ликвидности.

К причинам возникновения операционного риска относятся:

- нарушения непрерывности функционирования используемых для электронного банкинга информационных систем кредитной организации по причине аварий, отказов, сбоев оборудования и программного обеспечения самой кредитной организации или ее провайдеров;

- ошибки и/или сбои в работе аппаратно-программного обеспечения, применяемого кредитной организацией для систем электронного банкинга, которые могут привести к нарушениям целостности данных в информационном контуре банковской деятельности системы электронного банкинга;

- недостаточная производительность и защищенность информационных систем и информационно-телекоммуникационных сетей как в самой кредитной организации, так и на стороне провайдеров;

- невыполнение провайдерами договорных обязательств перед кредитной организацией;

- невыполнение кредитной организацией обязательств перед клиентами из-за ненадлежащего качества аппаратно-программного обеспечения систем электронного банкинга;

- вывод из строя и/или блокировка аппаратно-программного обеспечения системы электронного банкинга компьютерными злоумышленниками, а также хищения ими денежных средств клиентов кредитной организации.

К причинам возникновения правового риска относятся:

- нарушения кредитной организацией требований законодательства Российской Федерации, в том числе нормативных актов Банка России, из-за недостатков (ошибок) в аппаратно-программном обеспечении систем электронного банкинга, повлекших возникновение оснований для применения мер за нарушения валютного законодательства Российской Федерации, банковской тайны, порядка организации и осуществления внутреннего контроля (в том числе в целях финансового мониторинга), правил осуществления банковских операций, правил бухгалтерского учета, представление недостоверной отчетности;

- несовершенство правовой системы (неурегулированность отдельных вопросов ДБО с применением систем электронного банкинга и ответственности сторон, в том числе при трансграничном оказании банковских услуг);

- неправомерный доступ к конфиденциальной информации во время ее обработки, передачи или хранения как в самой кредитной организации, так и на стороне провайдеров, с которыми кредитная организация заключила договоры на обслуживание;

- недостаточность проработки кредитной организацией правовых вопросов при заключении договоров с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации;

- нахождение филиалов кредитной организации, ее клиентов, пользующихся услугами электронного банкинга, и провайдеров под юрисдикцией различных государств;

- нарушения условий договоров со стороны как кредитной организации, так и ее клиентов и контрагентов.

К причинам возникновения стратегического риска относятся:

- отсутствие или недостатки стратегического плана развития, предусматривающего применение систем электронного банкинга;

- невозможность достижения стратегических целей, поставленных кредитной организацией, в связи с отсутствием или недостаточным обеспечением в полном объеме необходимыми ресурсами (финансовыми, материально-техническими, людскими) и невыполнением организационных мер (управленческих решений) в области предоставления услуг электронного банкинга;

- чрезмерные затраты на внедрение и сопровождение систем электронного банкинга и/или их нерентабельность, а также вынужденный отказ от использования уже внедренных в эксплуатацию технологий банковского обслуживания и соответствующих информационных систем кредитной организации.

К причинам возникновения риска потери деловой репутации (репутационного риска) относятся:

- уничтожение данных о клиентах кредитной организации, их счетах и вкладах в связи с отказами оборудования, входящего в информационный контур банковской деятельности системы электронного банкинга, как в самой кредитной организации, так и у провайдеров;

- утечка из кредитной организации конфиденциальной информации, в том числе нарушение банковской тайны (из-за сетевых атак в условиях ДБО с применением систем электронного банкинга, неправомерного доступа к информационным ресурсам кредитной организации и т.п.);

- вовлечение кредитной организации в противоправную деятельность с применением систем электронного банкинга из-за ненадлежащего исполнения обязанностей по идентификации клиентов, установления и идентификации выгодоприобретателей и установления личности лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счете;

- негативная оценка клиентами качества предоставляемого ДБО с применением систем электронного банкинга.

К причинам возникновения риска ликвидности относятся:

- недостатки при управлении ликвидностью в условиях применения систем электронного банкинга, препятствующие своевременному и полному выполнению кредитной организацией своих обязательств перед клиентами;

- негативное влияние на выполнение обязательств кредитной организации нарушений в функционировании информационно- телекоммуникационных сетей, используемых для работы систем электронного банкинга;

- невозможность реализации высоколиквидных активов по причине сбоев в системах электронного банкинга (включая комплексы провайдеров);

- нарушения непрерывности функционирования систем электронного банкинга.

 

 

Рис. 14. Анализ источников типичных банковских рисков при использовании кредитной организацией систем электронного банкинга и услуг компании – провайдера

 

На рис.14 представлен пример анализа последствий проявления источников рисков электронного банкинга, связанных с использованием кредитной организацией услуг компании-провайдера.

При использовании кредитной организацией нескольких систем электронного банкинга необходимо учитывать возможное взаимное влияние источников банковских рисков, сопутствующих каждой из этих систем.

На сегодняшний день масштабы, которые приобретает легализация доходов, полученных преступным путем, вызывают озабоченность у всех контролирующих и регулирующих органов1 .

Наиболее широко различные способы отмывания денег используются при торговле наркотиками2 и оружием, мошенничестве, террористической деятельности, вымогательстве, торговле контрабандными и украденными товарами.

Последствия отмывания денег могут включать в себя:

- получение криминальными структурами возможности формально на законных основаниях использовать доходы от незаконных операций и тем самым расширять и постепенно легализовывать свою деятельность;

- стимулирование развития коррупции в государственном секторе и правонарушений в финансовой системе;

- неполучение государством части налогов, усиление диспропорции в распределении налогового бремени и социальной дифференциацией.

В последние годы системы электронного банкинга стали активно использоваться в схемах, направленных на отмывание денег. Этому способствует отставание законодательной базы от практики, регулирующей новые банковские технологии и инструменты. Угрозы для кредитных организаций заключаются в том, что они могут оказаться незаметно вовлечены в незаконную деятельность со всеми вытекающими последствиями реализации компонентов правового, репутационного и стратегического рисков.

При этом проблема финансового мониторинга (включая выполнение принципа «знай своего клиента») усложняется многократно, ввиду «виртуального» характера осуществления банковских операций.

Структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронного банкинга обеспечивают лишь автоматические соединения, а сами банковские операции переводят в такую форму, когда первичные бумажные документы в инициируемом транзакционном процессе физически отсутствуют. В результате все существующие методы контроля, базирующиеся на анализе первичных бухгалтерских документах (чаще всего бумажных), становятся не приемлемы.

По мнению экспертов, в области противодействия отмыванию денег и финансированию терроризма за последние годы проявилась своеобразная тенденция роста числа банковских операций, выполняемых с использованием систем электронного банкинга, которые стали относить к категории «сомнительных» (в ряде банков – более половины1 ). Это свидетельствует о целесообразности применения кредитными организациями дополнительных аналитических процедур, позволяющих установить, имеют ли место в действительности попытки легализации преступных доходов, а также организовывать в каждой кредитной организации самостоятельный процесс финансового мониторинга, в котором должны взаимодействовать все риск-подразделения, Служба внутреннего контроля, подразделение финансового мониторинга и другие заинтересованные подразделения банка.

Системы электронного банкинга позволяют с наименьшими затратами формировать ложные цепочки с участием различных компаний и физических лиц, чтобы создать видимость легальной деятельности и скрыть реальный характер происхождения денежных средств.

 

 

Рис. 15. Использование систем электронного банкинга в схемах, направленных на легализацию доходов, полученных преступным путем

 

 

Рис. 16. Порядок анализа источников рисков, связанных с использованием технологии электронного банкинга для противоправных действий

 

Обобщенная модель отмывания денег предполагает три стадии: размещение (placement), расслоение (layering) и интеграцию (integration). Указанные стадии могут осуществляться одновременно или частично накладываться друг на друга, что зависит от выбранного механизма легализации и от требований, предъявляемых преступной организацией. Системы электронного банкинга чаще всего используются на этапе расслоения (рис. 15).

На основе такого подхода риск-подразделениям и Службе внутреннего контроля банка можно разрабатывать внутренние методики для проверки степени (уровня) рисков, связанных с возможным использованием систем электронного банкинга для противоправных действий. Анализ источников рисков рекомендуется проводить по схеме: факт → событие → ситуация (рис. 16).

Учитывая трансграничный характер операций электронного банкинга и активное привлечение в схемы, направленные на отмывание денег, офшорных компаний и банков процесс финансового мониторинга многократно усложняется, т.к. на сегодняшний день законодательство ряда государств (преимущественно расположенных в офшорных зонах) позволяет им не предоставлять информацию по клиентам и организациям, зарегистрированным в этих странах.

 

 

Рис. 17. Особенности организации внутреннего контроля при использовании систем электронного банкинга

 

Для повышения эффективности функционирования подразделения финансового мониторинга и Службы внутреннего контроля при выявлении источников рисков отмывания денег необходимо иметь подробную схему информационного контура банковской деятельности системы электронного банкинга с выделенными проблемными участками (на рис. 17 отмечены кружками). Для каждого рискового участка1 должны применяться специальные меры обеспечения информационной безопасности, выполнение которых необходимо проверять Службе внутреннего контроля. При достаточно большом числе разновидностей систем электронного банкинга в каждой кредитной организации будут иметь место свои особенности построения информационного контура системы электронного банкинга и, как следствие из этого, - свой набор источников сопутствующих рисков.

На сегодняшний день проблема подготовки специалистов в области противодействия отмыванию денег и финансированию терроризма есть как в России, так и в европейских странах. В основном обучение сводится к специализированным курсам по порядку применения отдельных нормативных актов регулирующих органов. Но этого недостаточно. Эффективнее готовить профессиональных специалистов по финансовому мониторингу в ВУЗах с привлечением зарубежных специалистов (включая сотрудников международных организаций по борьбе с отмыванием денег). Нет ничего о риск-ориентированном надзоре, но это указано в новизне.

Анализ отчетов известных мировых антивирусных компаний и экспертов в области обеспечения информационной безопасности позволил сделать вывод, что главными трендами 2011 г. в сфере кибербезопасности стали большое количество хакерских атак на информационные системы крупных корпораций и госструктур, многочисленные DDoS-атаки1 и рост числа вирусов, заражающих мобильные устройства.

 

 

Рис. 18. Динамика жалоб на компьютерные преступления, зарегистрированных Центром по противодействию компьютерной преступности ФБР

 

 

Рис. 19. Динамика потерь (ущерба) по зарегистрированным жалобам

 

По мнению Лаборатории Касперского в 2011 г. более 70 тыс. новых угроз обнаруживалось каждый день - эта цифра вдвое больше, чем год назад2 . По данным, приведенным Центром по противодействию компьютерной преступности ФБР в «Докладе об Интернет-преступности 2009», финансовые потери в США в 2009 г. от компьютерных преступлений более чем в 2 раза превышают аналогичные показатели 2008 г. 1 . Американские аналитики отмечают, что в последние годы около трети всего ущерба от компьютерных правонарушений приходится на финансовые кибермошенничества, осуществляемые путем кибератак различного типа.

В России киберпреступность приобретает не менее угрожающий характер. Оборот «российской» киберпреступности за 2011 г. оценивался экспертами компании Group-IB в $1,8 млрд.

По данным «Лаборатории Касперского» только по самым массовым вирусным эпидемиям ежегодные пользовательские потери в Интернете составили (см. табл. 1):

 

Табл. 1. Пользовательские потери в Интернете за 2000-2010 г.г. (в млн. зараженных компьютеров)

- 1,5

 

Системы электронного банкинга являются постоянным объектом атак со стороны кибермошенников. Наибольшие угрозы представляют «спам»3 и «фишинг»4 .

С помощью «спама» распространяются не только различные вирусы и другие вредоносные программы, но и различные объявления, которые могут содержать мошеннические предложения.

Что касается фишинговых писем, то они приходят якобы от лица банков, платежных систем, онлайн - аукционов, крупных и широко известных интернет - магазинов. Такое письмо создается, форматируется и оформляется таким образом, чтобы выглядеть как отправленное легальным источником5 . Чаще всего письмо содержит ложную информацию о внезапно возникших технических проблемах на сайте кредитной организации или платежной системы, в связи с чем якобы возникла необходимость проверки учетных записей и регистрационных данных пользователей (рис. 20).

Что касается фишинговых писем, то они приходят якобы от лица банков, платежных систем, онлайн - аукционов, крупных и широко известных интернет - магазинов. Такое письмо создается, форматируется и оформляется таким образом, чтобы выглядеть как отправленное легальным источником5 . Чаще всего письмо содержит ложную информацию о внезапно возникших технических проблемах на сайте кредитной организации или платежной системы, в связи с чем якобы возникла необходимость проверки учетных записей и регистрационных данных пользователей (рис. 20).

Отметим одну особенность, связанную с мировым финансовым кризисом, которая заключается в значительном снижении затрат на обеспечение информационной безопасности. При этом криминальный мир наоборот - ответил существенным оживлением деятельности в области информационных технологий.

В связи с этим в банках предложено разрабатывать и внедрять специальные меры по обеспечению информационной безопасности с учетом особенностей информационного контура банковской деятельности системы электронного банкинга действующей в кредитной организации.

 

 

Рис. 20. Использование фальшивого web-сайта для выманивания данных по кредитным картам

 

По размеру ущерба от угроз информационной безопасности мошенничество в системах ДБО в России в последнее время занимает лидирующие позиции по сравнению с другими видами преступлений с использованием Интернет. В сфере киберпреступности наиболее динамично развивается хищение денег с банковских счетов юридических лиц через системы интернет-банкинга. В день фиксирует до 20 инцидентов такого рода1 .

 

Таблица № 2.

Изменение характеристик сетевых атак

Характеристика атаки Ранние атаки Современные атаки
Мотивация Известность и почет Выгода
Масштаб Чем больше - тем лучше Выбор цели, чтобы остаться незамеченным
Подход атакующего Сказать всем, что я здесь Стелс-технология работы и распространения вредоносного кода, множество разных технологий для атаки
Типы атак Вирусы, черви, spyware Направленные вирусы, руткиты, фишинг, требование выкупа
Основной риск Падение сети на время Прямые финансовые потери, кража корпоративных секретов, кража персональных данных и их раскрытие
Восстановление Поиск и удаление Не всегда возможно. Может требоваться восстановление системы

 

Одной из главных проблем остается несовершенство уголовного законодательства в сфере компьютерных преступлений. По российским законам преступление должно расследоваться по месту его совершения. Но когда денежные средства похищаются со счетов клиентов из разных мест, а в дальнейшем переводятся на несколько банковских счетов кредитных организаций, размещаемых не только в других регионах России, а и в других странах, то возникают серьезные проблемы при проведении расследования.

 

 

Рис. 21. Использование ботнетов в мошеннических схемах, связанных с хищением денежных средств

 

 

Рис. 22. Процесс по реагированию и расследованию инцидентов информационной безопасности

 

Обобщенный пример хищения денежных средств со счетов клиентов (используя систему электронного банкинга, вредоносный код и DDoS-атаку) выглядит так (рис. 21):

1 - у клиента крадут секретные ключи. Для кражи секретных ключей используются троянские программы;

2 - имея секретные ключи, злоумышленники формируют с их помощью платежные поручения и отправляют их в Банк 1. В Банке 1, получив такое платежное поручение, обрабатывают его и совершают транзакцию1 ;

2' - чтобы клиент не понял, что у него списаны деньги со счета, на банк начинается DDoS-атака.

В течение DDoS-атаки клиент не может подключиться посредством системы электронного банкинга к серверу кредитной организации, в которой у него открыт счет. Он пытается сделать выписку - у него это не получается. Во время действия DDoS-атаки злоумышленники переводят деньги на другие счета и обналичивают их. Вернуть похищенную сумму в таких случаях крайне затруднительно.

В некоторых западных государствах DDoS-атака приравнивается к преступлению2 . В России законодательная защита от DDoS-атак не обеспечивается, поскольку невозможно доказать сам факт преступления (хакер не проникает в систему, а попросту её блокирует). Злоумышленников при этом найти очень сложно.

С целью минимизации последствий воздействий вредоносного кода в каждой кредитной организации должен быть организован отдельный процесс по изучению наиболее опасных угроз для аппаратно-программного обеспечения используемой системы электронного банкинга (включая аппаратно-программное обеспечение, находящееся на стороне провайдеров). Защита от угроз информационной безопасности должна строиться на комплексной основе и включать в себя организационные, технические, аппаратно - программные, физические и криптографические меры.

Автор считает, что организационные меры являются наиболее эффективными, т.к. они позволяют минимизировать риски, связанные с человеческим фактором. Аналогичная точка зрения отражается во многих корпоративных стандартах Банка России по обеспечению информационной безопасности в банках1 .

Одним из элементов улучшения качества процесса обеспечения информационной безопасности является своевременное расследование инцидентов информационной безопасности. Все инциденты, связанные с обеспечением информационной безопасности в кредитной организации, должны рассматриваться как самостоятельный процесс, включающий в себя четыре основные стадии с обязательным докладом руководству банка для принятия управленческих решений (рис. 22).

Учитывая глобальный характер угроз от киберпреступлений в области ДБО, для повышения эффективности контрмер необходимо создать координирующий центр по изучению новых способов хищения денежных средств в условиях электронного банкинга. Взаимодействие в данной области позволит сократить сроки проведения расследований правоохранительными органами и повысить эффективность превентивных мер со стороны регулирующих и надзорных органов. Результатом станет повышение надежности и стабильности банковской системы Российской Федерации.

Случается, что устройство, приняв деньги, не зачисляет их на счет карты. Это происходит по причине сбоя в работе банкомата. В таких случаях клиенту предлагается написать жалобу в банк с точным указанием месторасположения устройства, даты и времени проведения операции и т. д. Сроки рассмотрения таких жалоб у банков разные и могут составлять от нескольких дней до нескольких месяцев. Для того чтобы ускорить процедуру рассмотрения заявки, юристы советуют клиентам обозначать в заявлении свое требование о возмещении убытков (в данном случае деньги, которые забрал банкомат, можно отнести к убыткам). Тогда в соответствии со ст. 22 и 31 закона «О защите прав потребителей» срок рассмотрения заявки не должен превышать 10 дней. Если, несмотря на указанное требование, банк не принял решения в течение 10 дней, то клиент вправе через суд потребовать также и проценты за неправомерное удержание своих средств в размере ставки рефинансирования ЦБ РФ.

 




Поиск по сайту:







©2015-2020 mykonspekts.ru Все права принадлежат авторам размещенных материалов.