Информационные риски в банкинге

В XXI в. мировая банковская система претерпевает существенные изменения:

• 1.    Качественно меняется место и роль национальных регуляторов банковской системы.

• 2.    В банковскую практику активно внедряются принципиально новые продукты и услуги, основанные на современных информационных технологиях.

• 3.    Активно дискутируется вопрос о кардинальном изменении функций и места в банковском бизнесе инвестиционного банкинга.

• 4.    Радикальной трансформации подвергаются банковский риск-менеджмент, бухгалтерский учет и аудит.

• 5.    Существенному пересмотру подлежит система рейтинговой оценки надежности банков.

• 6.    Происходит значительное перераспределение сил в рамках мирового банковского сообщества.

• 7.    Мировое лидерство постепенно переходит от традиционных финансовых центров (банков США, Японии и Западной Европы) к новым центрам банковского бизнеса (Индии и Китаю).

Все эти изменения – ответ мировой банковской системы на вызовы, с которыми она столкнулась на рубеже XX–XXI вв. Речь идет о столь существенных переменах, что многие исследователи банковского дела в мире высказывают предположение о переходе банковской отрасли на новую ступень своего развития.

Современный банкинг ¹ – это новая модель банковского бизнеса на этапе вступления человечества в эпоху информационной экономики. В условиях дематериализации финансовых отношений и формирования цифрового рынка операции коммерческих банков также приобретают виртуальный характер: от информационных банковских систем, обеспечивающих учет и проведение банковских транзакций, до систем дистанционного банковского обслуживания и автоматизированных банковских терминалов. (Мы согласны с Крисом Скиннером, который пишет, что в XXI в. «банкинг – это цифровой рынок, основанный на виртуальных финансовых отношениях, оформленных электронными транзакциями») ² .

В этих условиях одной из важнейших составляющих успешного развития коммерческого банка становится защищенность его информационных ресурсов. Информация в современном обществе является одним из ключевых элементов бизнеса. Она становится предметом купли-продажи, обладающим стоимостными характеристиками. Любые процессы в финансово-промышленной, политической или социальной сфере сегодня напрямую связаны с информационными ресурсами и использованием информационных технологий.

Современные информационные технологии предлагают неограниченные возможности для развития банковского бизнеса, предоставляя необходимую для принятия решений информацию нужного качества и в нужное время. Информация, критичная для банков, должна быть доступной, целостной и конфиденциальной. В связи с возрастающей сложностью информационных систем и используемых в них информационных технологий возрастает количество потенциальных угроз этим системам.

Очевидно, что вопросы безопасности информационных активов сегодня актуальны не только для правительственных, но и для коммерческих структур. В связи с этим защита банковских информационных ресурсов, анализ информационных рисков и управление ими приобретают особую актуальность. Вместе с тем проведенный анализ свидетельствует о том, что в научной литературе до сих пор не сложилась единая точка зрения на экономическое содержание категории «информационные риски» и на их место в системе рисков банкинга.

В экономической литературе существуют различные подходы к пониманию сущности экономического риска. Так, по мнению Л. Тэпма-на, риск – это возможность возникновения неблагоприятных ситуаций в ходе реализации планов и исполнения бюджетов предприятия ³ . Ю. Мас-ленчиков считает, что риск – это вероятность возникновения убытков или неполучения доходов по сравнению с прогнозируемым вариантом ⁴ . Однако приведенные определения не предусматривают возможность успеха, получения прибыли и т.п., что несколько сужает понятие риска.

По мнению Е. Серегина, риск – это деятельность субъектов хозяйственной жизни, связанная с преодолением неопределенности в ситуации неизбежного выбора, в процессе которой имеется возможность оценить вероятность достижения желаемого результата, неудачи, отклонения от цели, содержащиеся в выбираемых альтернативах ⁵ . Это определение, на наш взгляд, более точно отражает сущность данного понятия, так как использует более широкую трактовку риска.

Принятие рисков – основа банковского дела. Банки имеют успех тогда, когда принимаемые ими риски разумны, контролируемы и находятся в пределах их финансовых возможностей и компетенции. Банки, как правило, стремятся получить наибольшую прибыль. Но это стремление ограничивается возможностью понести убытки. Риск банковской деятельности в общем плане означает вероятность того, что фактическая прибыль банка окажется меньше запланированной.

Банковский риск – это ситуативная характеристика деятельности банка, отображающая неопределенность ее исхода и характеризующая вероятность негативного отклонения действительности от ожидаемого. В этом определении должное внимание уделяется всем ключевым понятиям, необходимым для осмысления банковских рисков, прежде всего таким как неопределенность ситуации принятия решения и вероятность негативного отклонения результата от планируемого6.

Сегодня особое место среди банковских рисков занимают играть информационные риски. Пока еще не сложилось общепринятого толкования этой категории. Информационный риск – это возможное событие, в результате которого несанкционированно удаляется, искажается информация, нарушается ее конфиденциальность или доступность. Понятие информационного риска используется как синоним понятия «угроза безопасности информации». Управление такими информационными рисками сводится к защите информации в основном от злоумышленных действий.

Некоторые специалисты еще в большей степени сужают понятие информационного риска, рассматривая его как угрозу безопасности информации только в компьютерных системах. Сторонниками таких подходов к пониманию категории «информационные риски» являются, как правило, специалисты в области защиты информации, рассматривающие только технические средства информационных технологий, исключая такой ключевой элемент информационных систем, как специалист ⁷ .

По нашему мнению, информационные риски следует рассматривать как экономическую категорию, то есть возможность возникновения убытков, неполучение прибыли и другие негативные последствия для банка в результате применения информационных технологий. Иными словами, информационные риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи ⁸ .

Итак, информационные риски – это:

• –    утрата или несанкционированный доступ к конфиденциальной информации;

• –    выход из строя банковских информационных систем;

• –    распространение вредоносного программного кода (как в банковских информационных системах, так и в информационных системах третьих лиц – клиентов банка);

• –    несанкционированное использование информационных ресурсов банка;

• –    хищение / несанкционированное раскрытие или ущерб, нанесенный информации третьих лиц по вине банка.

Таким образом, реализация информационных рисков может привести к нарушению конфиденциальности, целостности и доступности банковской информации или к утрате (частичной или полной) информационных активов банка и / или третьих лиц – клиентов банка.

Статистика инцидентов, связанных с реализацией информационных рисков в коммерческих банках, крайне ограничена. По нашему мнению, это прежде всего связано с опасением банков за свою репутацию и изначальным нежеланием раскрывать такого рода сведения, что обусловлено отсутствием в нормативно-правовых актах Российской Федерации требований по обязательной публикации информации об инцидентах, связанных с реализацией информационных рисков. Однако количество раскрытой информации об указанных инцидентах постепенно растет. Так, за 2011 г. в российских компаниях, в том числе коммерческих банках, зафиксировано более 850 инцидентов, связанных с реализацией информационных рисков и повлекших материальный или репутационный ущерб9. Вот некоторые из них:

• 1.    Банковская база 47 тыс. клиентов в Уфе использовалась для шантажа банка со стороны работников общественной организации – 24.08.2011.

• 2.    В Сбербанке из-за технического сбоя 6.07.2012 было приостановлено обслуживание всех карт. Из-за выхода из строя базы данных процессинга услуги не предоставлялись в течение 3 часов ¹⁰ .

Информационные риски присущи и зарубежным банкам. В соответствии с информацией, размещенной на сайте американской некоммерческой организации Privacy Rights Clearinghouse, утечка информации, взлом информационных систем и непреднамеренное разглашение информации являются основными причинами информационных рисков, присущих чувствительной или конфиденциальной информации.

Вот примеры реализации информационных рисков в зарубежных банках:

• 1.    30 октября 2012 г. работник Нью-Йоркского отделения HSBC Bank ушел в отставку, забрав «на память о долгих годах работы» информацию, содержащую имена, номера и типы банковских счетов, номера телефонов клиентов банка.

• 2.    Ноутбук работника BMO Harris Bank (Milwaukee) был украден вместе с персональными данными клиентов (именами, адресами и датами их рождения).

• 3.    23 августа 2011 г. произошел инцидент в Berkshire Bank (Pittsfield, Massachusetts). На внешней стороне конвертов, разосланных клиентам банка, над именем получателя были напечатаны номера кредитных счетов клиентов банка ¹¹ .

Приведенные факты свидетельствуют о том, что информационные риски представляют угрозу для коммерческих банков не только теоретическую, но и вполне реальную. Когда мы говорим об информационных рисках в коммерческих банках, то имеем в виду угрозы банковским информационным системам, нематериальным информационным активам, обрабатываемым в банковских информационных системах, а также последствия выхода из строя банковских информационных систем. Кроме того, в литературе нет определенной позиции по поводу того, к какой группе относить информационные риски. Банковские риски подразделяют на финансовые, прочие и функциональные.

Финансовые риски занимают особое место в системе банковских рисков. Такие риски могут повлиять на объем, структуру активов и пассивов, на конечные результаты деятельности банка – рентабельность, ликвидность и размер капитала, платежеспособность банка. К финансовым относятся следующие виды рисков: кредитный, валютный, процентный, риск ликвидности, рыночный, риск инфляции и риск неплатежеспособности.

Кредитный риск возникает вследствие неисполнения, несвоевременного либо неполного исполнения должником финансовых обязательств перед кредитной организацией в соответствии с условиями договора. Концентрация кредитного риска проявляется в предоставлении крупных кредитов отдельным заемщикам.

Валютный риск связан с созданием транснациональных предприятий и банковских учреждений и представляет возможность денежных потерь в результате колебания валютных курсов. Этот вид рисков может быть обусловлен неуплатой заемщиком основного долга и процентов в установленный кредитным договором срок. Кроме того, валютный риск возникает вследствие недостаточного учета отраслевых особенностей деятельности клиента, гарантий по ссудам, надежности гарантов.

Процентный риск – это подверженность финансового положения банка неблагоприятным изменениям процентных ставок. Риск влияет на доходы банка, стоимость активов, обязательств. Причины возникновения процентного риска – неправильный выбор разновидностей процентных ставок, изменения в процентной политике Банка России, ошибки в установлении цен на депозиты и кредиты.

Риск ликвидности связан с неспособностью кредитной организации исполнять свои обязательства в полном объеме. Риск ликвидности возникает в результате несбалансированности финансовых активов и финансовых обязательств кредитной организацией, в том числе вследствие несвоевременного исполнения финансовых обязательств одним или несколькими контрагентами.

Рыночный риск возникает из-за неблагоприятного для банка изменения рыночных цен.

Риск инфляции оказывает неоднозначное воздействие на банк. Наиболее очевидным является отрицательное влияние инфляции, проявляющееся в обесценении банковских активов, большую часть которых составляют денежные средства и финансовые вложения. Рост инфляции может в значительной степени повышать доходность банковских операций при стремительном росте объема денежной массы.

Риск неплатежеспособности является производным от других рисков и связан с опасностью того, что банк не может выполнять свои обязательства, потому что объемы накопленных убытков и потерь превышают его собственный капитал. Однако риск неплатежеспособности может проявиться в менее серьезном случае, когда банковского капитала оказывается недостаточно, чтобы банк мог продолжать наращивать объем своих активных или пассивных операций.

К прочим видам рисков относятся нефинансовые риски, которые являются внешними по отношению к банку. Их влияние на работу банка исключительно велико, а управлять ими весьма трудно.

Правовой риск возникает у кредитной организации вследствие несоблюдения кредитной организацией требований нормативных правовых актов и заключенных договоров, а также правовых ошибок при осуществлении банковской деятельности.

Риск потери деловой репутации кредитной организации (репутационный риск) возникает в результате уменьшения числа клиентов (контрагентов) вследствие формирования в обществе негативного представления о финансовой устойчивости кредитной организации, качестве оказываемых ею услуг или о характере деятельности в целом.

По нашему мнению, информационные риски следует относить к группе функциональных рисков. Функциональные риски возникают при несвоевременном и неполном контроле за финансово-хозяйственной деятельностью, невозможности собирать и анализировать соответствующую информацию. К таким рискам относятся операционный, информационный и стратегический риски. Функциональные риски не менее опасны для деятельности банка, чем финансовые риски, но их труднее определить количественно. Функциональные риски также приводят к финансовым потерям.

Риск операционных расходов (операционный риск) возникает в результате несоответствия характера и масштаба деятельности кредитной организации требованиям действующего законодательства, внутренним порядкам и процедурам проведения банковских операций и других сделок.

Стратегический риск возникает в результате ошибок, допущенных при принятии решений, определяющих долгосрочную деятельность кредитной организации.

В эту же группу, по нашему мнению, входят информационные риски. Последствиями информационных рисков могут стать убытки как банка, так и третьих лиц, перед которыми у банка есть договорные или финансовые обязательства. Об этом свидетельствуют факторы, обусловленные действиями субъекта и техническими средствами.

Первая группа наиболее обширна и представляет наибольший интерес с точки зрения управления информационными рисками, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. В качестве антропогенного фактора возникновения информационных рисков можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к банковским информационным системам. Субъекты, действия которых могут привести к реализации информационных рисков, могут быть внешними и внутренними.

Внешние факторы могут быть случайными или преднамеренными и иметь разный уровень квалификации.

Внутренние субъекты, как правило, представляют квалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы банка, имеющих возможность использовать штатное оборудование и технические средства.

Факторы второй группы менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс факторов возникновения информационных рисков особенно актуален в современных условиях. Эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования в банках, а также недостаточным вниманием к его своевременному обновлению.

Таким образом, под информационным риском в коммерческих банках мы понимаем угрозу банковским информационным системам, нематериальным информационным активам, обрабатываемым в банковских информационных системах, а также последствия выхода из строя последних. Результатом реализации информационных рисков может стать неполное получение прибыли / убытки как банка, так и третьих лиц, перед которыми у банка есть договорные или финансовые обязательства. Эти риски входят в группу функциональных рисков, оказывают существенное влияние на финансовые результаты банковской деятельности, следовательно, являются предметом особого внимания руководства банков.