В настоящее время специфика условий функционирования российского банковского сектора предполагает, как отмечалось, возникновение новых источников компонентов только для следующих банковских рисков: стратегического, операционного, правового, репутационного (потери деловой репутации), ликвидности (неплатежеспособности) и, в некоторых специфических случаях, странового[56]. Чтобы правильно определить состав источников компонентов рисков, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД, образуемый той или иной системой электронного банкинга (СЭБ), на своего рода «зоны концентрации источников риска» и проанализировать особенности каждой из них. Затем, в соответствии с принятой в том или ином банке методологией УБР, можно сгруппировать отдельные факторы или источники компонентов рисков по их возможному проявлению в тех или иных типичных банковских рисках, которые описываются, как правило, во внутрибанковских документах типа «Положения об управлении банковскими рискам». Это может оказаться полезным, например, при организации управления рисками по их типам, перечисленным выше, при переходе к применению ТЭБ.
Ниже проводится краткий анализ структуры этих банковских рисков[57] в части свойственных применению ТЭБ и реализующих их СЭБ причинно-следственных связей их компонентов наряду с теми угрозами надежности банковской деятельности, которые привносит ДБО само по себе. Если говорить конкретно о ППД, то, трактуя понятие указанной надежности с точки зрения выполнения кредитными организациями (в широком смысле) своих обязательств перед клиентами и контролирующими органами, можно определить те компоненты типичных банковских рисков, которые непосредственно связаны с опасностью осуществления ППД[58]:
• для операционного риска – это потенциальные финансовые потери, обусловленные мошенническими действиями в отношении кредитной организации и (или) ее клиентов за счет перевода автоматизированных систем, применяемых ею для осуществления банковской деятельности, в нештатные (в широком смысле) режимы функционирования, из-за чего могут осуществляться противоправные действия, включая проведение несанкционированных транзакций или прямые хищения финансовых средств в электронной форме либо конфиденциальной («чувствительной») информации и пр., происходить нарушения доступности автоматизированных систем и (или) непрерывности их функционирования (включая как причины «удачные» сетевые и хакерские атаки, отказы и сбои аппаратно-программного обеспечения для прикрытия мошенничеств как самой кредитной организации, так и ее провайдеров), следствием чего окажется невыполнение кредитной организацией обязательств перед клиентами;
• для правового риска – это потенциальные финансовые потери, обусловленные невыполнением кредитной организацией требований нормативных правовых актов, регулирующих банковскую деятельность, и (или) законодательной неопределенностью дистанционного предоставления банковских услуг, а также судебными издержками/санкциями из-за невыполнения обязательств перед клиентами (включая потерю значимых данных и утечку «чувствительной» информации, нарушение банковской тайны, противоправную деятельность, которая оказывается возможной из-за недостатков аппаратно-программного или программно-информационного обеспечения банковской деятельности как самой кредитной организации, так и ее провайдеров, хищения денежных средств клиентов и т. д.), включая ситуации, в которых клиенты оказываются не способны выполнять свои обязательства перед третьими сторонами по вине кредитной организации и (или) ее провайдеров;
• для риска ликвидности (неплатежеспособности)[59] – это потенциальные финансовые потери кредитной организации из-за хищений ее информационных активов и (или) в форме ее неспособности полностью и своевременно выполнять свои финансовые обязательства в отношении конкретных клиентов в случаях несанкционированных переводов их финансовых средств, изменений в характеристиках управления ликвидностью в условиях открытого сетевого взаимодействия (блокировка автоматизированных систем или каналов/линий связи, непредвиденный отток финансовых средств, крупномасштабные финансовые хищения, другие потери высоколиквидных активов, сбои и отказы в работе аппаратно-программного обеспечения, применяемого для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров), а также недостатки организационного характера, из-за которых финансовые обязательства перед клиентами не выполняются (таким образом возникает своего рода «персональная» неплатежеспособность, то есть в отношении конкретного клиента);
• для репутационного риска – это потенциальные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения ею обязательств перед клиентами (включая недоступность/неработоспособность/неполную функциональность/ненадежность/небезопасность ее автоматизированных систем, потерю (утечку, хищение)/искажение/чувствительных данных из-за недостатков/отказов аппаратно-программного обеспечения кредитной организации и (или) ее провайдеров (в том числе саботажа, компьютерных преступлений (мошенничеств), сетевых, хакерских, вирусных атак, несанкционированного доступа к упомянутым данным, ставших известными судебных исков или сведений о нарушениях конфиденциальности информации (банковской тайны), веб-сайтов-муляжей и т. п.), воздействия на используемые этой организацией веб-сайты (блокировка, искажение контента и пр.);
• для стратегического риска – это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).
Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними – и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.
Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях – это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков – нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.
