1.3.1. Управление операционным риском
Причиной повышенного внимания к операционному риску стал выход соглашения Базельского комитета по банковскому надзору (БКБН) «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» – Basel II. Соглашение Basel II является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.
Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.
В качестве возможных проявлений операционного риска можно выделить следующие типы событий:
– внешние воздействия (наводнения, пожары, аварии и т. п.);
– внутренние и внешние мошенничества;
– ошибки персонала;
– сбои в реализации бизнес-процессов и обслуживании клиентов;
– физический ущерб активам;
– сбои информационных систем;
– нарушение процессов обработки и хранения данных.
Требования, предъявляемые документами Basel II, были дополнены в документах Basel III, в том числе и в отношении операционного риска.
Отметим, что БКБН рекомендует привлекать к процессу управления рисками, возникающими при внедрении СЭБ в кредитных организациях, не только риск-подразделения, но и совет директоров, высшее руководство банка, а также топ-менеджеров банка.
Операционный риск является одним из основных типичных банковских рисков, на который в большей степени оказывают влияние СЭБ.
Он определяется как вероятность образования убытков и (или) неполучения прибыли вследствие сбоев в выполнении каждодневных, рутинных банковских операций. Применительно к ЭБ выделяются три главные зоны операционного риска:
1) функционирование системы безопасности;
2) привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг);
3) освоение новых технологий сотрудниками банка [78, с. 499].
В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации (искажение, уничтожение, перехват данных или злоупотребление ими в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов) и отказы в функционировании банковских информационных систем (возникновение перегрузок из-за недостаточной мощности аппаратно-программного обеспечения и целенаправленных DoS-атак на веб-серверы банка).
Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление банковских услуг в области информационных технологий посредством специализированных фирм (в первую очередь банки сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки оказываются в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко никак не связанных между собой, компаний, сотрудники которых могут и не обладать достаточными знаниями о специфике банковского дела.
Наконец, ускорение процесса модернизации информационных систем повышает требования к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов банков значительными проблемами[46].
Смысл управления операционным риском заключается в прогнозе периодичности различных сбоев и нарушений непрерывности функционирования аппаратно-программного обеспечения СЭБ и оценке величины вероятных убытков. Отметим, что у потерь есть и положительная сторона – они вскрывают слабые места и открывают новые возможности. Поэтому самая большая ошибка – сокрытие нежелательного инцидента. Даже после того, как устранены рисковая ситуация или последствия неблагоприятного события, нельзя оставлять произошедшее в тайне: гораздо лучше использовать инцидент в качестве наглядного урока для других сотрудников.
Формы проявления операционного риска в условиях ЭБ могут быть самыми разнообразными. Однако все они вызваны, как правило, несоответствием определенных процедур требованиям законодательства, несоразмерностью технических возможностей СЭБ и объема бизнеса, техническими сбоями и отказами оборудования, непреднамеренными или умышленными действиями персонала и внешних субъектов, что отвечает классическому определению операционного риска.
Минимизировать операционный риск в условиях ЭБ можно с помощью общепринятых стратегий:
– принятие риска (отказ от превентивных мероприятий, воздействие на источники риска, самострахование (в т. ч. через кэптивные страховые компании), диверсификация активов и т. д.);
– полная или частичная передача риска (страхование, хеджирование, синдицирование и т. п.);
– избежание риска (отказ от применения конкретной системы, профилактика как устранение источников риска и пр.).
1.3.2. Противодействие киберпреступлениям в финансовой сфере
Следующая проблема связана с возрастанием активности киберпреступников, чьи усилия направлены на хищение денежных средств клиентов банков, использующих для выполнения своих операций СЭБ.
На конец 2019 г. было известно об активности 38 групп, кампании которых затрагивают все регионы мира. Аналитики Group-IB изучают в основном группы из России, Северной Кореи, Пакистана, Китая, Вьетнама, Ирана, США, ОАЭ, Индии, Турции, региона Южной Америки. К 2022 г., по прогнозу Всемирного экономического форума, сумма планетарного ущерба от кибератак вырастет до $8 трлн[47].
По статистике компании Group-IB, объем российского рынка киберпреступности во второй половине 2018 г. – первой половине 2019 г. составил почти 510 млн руб. (примерно $8 млн; снижение на 85 % к прошлому периоду)[48]. Из отчета МВД России «Состояние преступности в России»[49] следует, что за январь-октябрь 2019 г. в стране было зарегистрировано 2376 преступлений в сфере компьютерной безопасности.
Компьютерные злоумышленники сегодня совсем не похожи на тинейджеров, получивших первоначальные знания с хакерских веб-сайтов, а представляют собой специалистов с достаточно высокой подготовкой в области информационных технологий и в финансовых вопросах. Причем большинство из них действуют в составе организованных преступных групп. Сегодня доходы от компьютерных преступлений значительно превышают доходы, получаемые от продажи оружия и наркотиков.
Очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки – это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают создавать новые техники атак.
1.3.3. Противодействие использованию систем электронного банкинга в схемах, направленных на легализацию преступных доходов
Следующая проблема, связанная с применением СЭБ, заключается в активном привлечении данных систем к процессу легализации преступных доходов. В последнее время отмывание денег стало одной из основных международных проблем, к решению которой привлечены ведущие страны мира. Процедура отмывания денег имеет решающее значение для функционирования практически всех форм транснациональной и организованной преступности. Различные меры экономического характера, призванные исключить или ограничить возможность использования преступниками полученных незаконными путями доходов, представляют собой важнейший и действенный компонент программ по борьбе с преступностью. Приведем лишь некоторые факторы, способствующие отмыванию денег: