|
в) несанкционированным использованием аппаратно-программного обеспечения систем ДБО (включая конфиденциальную информацию, используемую клиентом для аутентификации и идентификации при предоставлении доступа к управлению своими счетами). Развивать методологическую работу в части банковского надзора вместе с подготовкой рекомендаций для кредитных организаций в части регулирования (в перспективе и в части банковского инспектирования, которое должно будет давать информацию, необходимую для процедур риск ориентированного надзора) целесообразно именно в этих трех направлениях. fr Учитывая, что любые взаимодействия между банками и их клиентами через системы связи неизбежно замыкаются на банковских автоматизированных системах, правильнее было бы рассматривать и внутрибанковские системы, и внешние компьютерные, и связные системы в едином комплексе, поскольку любое средство доступа извне к банковской автоматизированной системе это не более чем «виртуальные ворота» в банк, и, с точки зрения надзора, важно: кто именно получает права доступа к информационным ресурсам банка, к чему конкретно через эти ворота может быть получен доступ и какие полномочия связаны с этим доступом. Во многих материалах по тематике банковских рисков подчеркивается влияние на осуществление банковских операций и безопасность соответствующей информации технологических решений, принимаемых в кредитных организациях. Фундаментальным условием предоставления гарантий работоспособности информационных систем является их системная надежность1. В общем случае, уровень прямых и косвенных финансовых потерь банка, равно как и размеры возможных санкций за нарушения, Неизбежно довольно непривычное использование для оценивания рисков некоторых понятий теории надежности систем. Известно, что любые аппаратные средства, в том числе компьютерные, характеризуются такими показателями, как коэффициент готовности, наработка на отказ, интенсивность отказов и т.д. Все это — параметры надежности аппаратного обеспечения выполнения банковских операций, от которых непосредственно зависит непрерывность работы банковской автоматизированной системы. 100 \ |
57 Понятно, что любая информация формируется, хранится, обрабатывается, передается и предоставляется посредством совершенно конкретных в каждом отдельном случае технических средств, то есть имеющихся в конкретной кредитной организации. В свою очередь, риски, источники которых имеют технологическую природу, всегда связаны с тремя основными причинами: а) неправильным функционированием; б) неправильным применением; в) несанкционированным использованием таких средств. В этих трех аспектах и предполагается развивать методологическую работу в части банковского надзора вместе с подготовкой рекомендаций для кредитных организаций в части регулирования, а в перспективе и в части банковского инспектирования, которое должно будет давать информацию, необходимую для процедур риск ориентированного надзора. Наиболее полные определения банковских рисков, на которые в большей степени оказывают влияние технологии ДБО, приведены в работах Л.В. Лямина (руководителя подразделения Банка России, непосредственно осуществляющего надзор за электронными банковскими технологиями) [94, С.191-193]. Операционный риск возможные текущие и перспективные финансовые потери, обусловленные ошибками при выполнении банковских операций (что может привести к неправильной реализации учетно-расчетных процедур), мошенническими действиями в отношении кредитной организации (включая несанкционированные транзакции, хищения финансовых средств в электронной форме и пр.), нарушением непрерывности и/или нештатным функционированием автоматизированных систем кредитной организации, используемых для осуществления банковской деятельности (с учетом возможных аварий, отказов и сбоев оборудования самой кредитной организации и провайдеров необходимых ей услуг, в каналах связи и т.п., из-за чего возможны потери клиентских транзакций, данных и невыполнение обязательств перед клиентами). 60 несоответствующей реализацией основных бизнес решений в кредитной организации, что приводит к невозможности достижения ею своих бизнес целей и/или чрезмерным затратам на внедрение и сопровождение используемых банковских технологий (включая неправильное распределение ресурсов, ошибки в выборе и комбинации видов предоставляемых услуг, неадекватные технологические и организационно-технические решения, неоправданные вложения крупных средств в неперспективные проекты, нефункциональность систем, ошибки в маркетинговой, рыночной, конкурентной политиках и т.п.). Положительным фактором приведенных определений является описание конкретного состава возможных источников банковских рисков (в общем случае, это относится ко всем банковским операциям), а также возможные последствия. Явления, наблюдаемые в банковской сфере в настоящее время, тесно связаны с развитием технологий ДБО и сопровождаются активным ростом числа клиентов кредитных организаций, использующих для выполнения своих операций системы электронного банкинга. Данную особенность необходимо учитывать в работе органов банковского регулирования и надзора1. Этот процесс сопровождается тенденцией к объединению усилий страховых и информационнотехнологических компаний по страхованию рисков, связанных с информационной безопасностью. Учитывая, что любые взаимодействия между банками и их клиентами через системы связи неизбежно замыкаются на банковских автоматизированных системах, правильнее было бы рассматривать и внутрибанковские системы, и внешние компьютерные, и связные системы в едином комплексе, поскольку любое средство доступа извне к банковской автоматизированной системе — это не более чем «виртуальные ворота» в банк, и, с точки зрения надзора, важно: кто именно получает права доступа к информационным ресурсам банка, к чему конкретно через эти ворота может быть получен доступ и какие полномочия связаны с этим доступом. 61 Во многих материалах по тематике банковских рисков подчеркивается влияние на осуществление банковских операций и безопасность соответствующей информации технологических решений, принимаемых в кредитных организациях. Фундаментальным условием предоставления гарантий работоспособности информационных систем является их системная надежность1. 1 Неизбежно довольно непривычное использование для оценивания рисков некоторых понятий теории надежности систем. Известно, что любые аппаратные средства, в том числе компьютерные, характеризуются такими показателями, как коэффициент готовности, наработка на отказ, интенсивность отказов и т.д. Все это параметры надежности аппаратного обеспечения выполнения банковских операций, от которых непосредственно зависит непрерывность работы банковской автоматизированной системы. В общем случае, уровень прямых и косвенных финансовых потерь банка, равно как и размеры возможных санкций за нарушения, непосредственно зависят не только от объемов банковских операций, совершаемых в электронной форме, но и от защищенности систем, и от времени восстановления отказавших систем. Основная сложность в выявлении и анализе влияния источников рисков заключается в том, что каждая кредитная организация характеризуется спецификой организационно функциональной структуры и архитектуры аппаратно-программного обеспечения. В этом заключается принципиальная методологическая проблема и для подразделений банковского надзора и инспектирования, и для внутреннего контроля кредитной организации. При разработке подходов для управления рисками электронного банкинга не следует ограничиваться только выявлением причин и определением размеров возможных финансовых потерь. При изучении проблем, связанных с рисками банковской деятельности, необходимо рассматривать в качестве итоговых оценок риски, связанные с системными характеристиками и показателями (т.е. риски системного уровня). С этой точки зрения самыми важными являются, например, возможности продолжения функционирования банка, выполнения им функций финансового посредника в неизменном или измененном масштабе, финансовые потери, влияющие на безопасность ее кредиторов (включая вкладчиков), а также такие опасности (рисковые |