Methodological approaches to verification of cross-channel information solutions under the influence of integrated risk

Сегодня крупнейшие отечественные и зарубежные организации кредитно-финансового сектора активно внедряют информационные решения в сервисы и банковские инструменты. Справедливо сказать, что внедрение информационных решений является важнейшим конкурентным преимуществом на финансовом рынке, определяя возможности для безбарьерного входа в отрасль на основе создания клиентоориентированных продуктов.

Тенденция по информатизации кредитной и финансовой среды сохраняется уже на протяжении последних пятнадцати лет, обеспечивая не только эффективную работу кредитно-финансовых институтов,

ГРНТИ 06.73.55

Лейла Румановна Магомаева – доктор экономических наук, доцент кафедры «Информационные системы в экономике» Грозненского государственного нефтяного технического университета имени академика М.Д. Милли-онщикова.

Тамирлан Рамзанович Магомаев – старший преподаватель кафедры «Информационные системы в экономике» Грозненского государственного нефтяного технического университета имени академика М.Д. Миллионщикова. Милана Маусыровна Абдурахманова – кандидат экономических наук, доцент кафедры «Информационные системы в экономике» Грозненского государственного нефтяного технического университета имени академика М.Д. Миллионщикова.

Статья поступила в редакцию 30.09.2021.

но и работу отрасли, вывод ее на качественно иной уровень технологического развития при одновременном сокращении операционных затрат. Масштабы развития финансовых сервисов давно перешагнули из традиционных расчетных услуг, предоставляемых банками, в сервисы бесконтактных платежей, создаваемые ведущими экосистемами мира, что обусловило появление новых кросс-каналов.

Кросс-канал представляет собой объединенный информационный сервис, способствующий взаимодействию кредитно-финансовой организации и клиента. По мнению Л.Р. Магомаевой [1, с. 69], развитие информационных кросс-каналов складывалась эволюционным образом, поскольку традиционные каналы продаж уже не учитывали потребности клиента по причине недостаточной автоматизации. Учитывая закономерное развитие кросс-каналов и соответствующей им инфраструктуры, сформировалась качественно новая модель клиентоориентированного сервиса, охватывающая как каналы продаж, так и каналы изучения поведенческих характеристик потребителей.

В практическом аспекте, созданная гибридная модель финансового сервиса определила новую веху в развитии банковского инструментария и услуг на основе информационной инфраструктуры. Принимая во внимание очевидные положительные факторы в создании клиентоориентированных сервисов, необходимо сказать и о рисках, сопутствующих их развитию в будущем.

Одним из основных факторов риска в реализации кросс-канальных информационных решений является риск утечки информации, обусловленный снижением конфиденциальности данных. Разделяя позицию Т. Кука [7], считаем, что конфиденциальность составляет одну из основных проблем нынешнего столетия наряду с проблемами изменения климатических условий, которые испытывает весь мир. Недостаток конфиденциальности отражается и на поведении людей, изменяя не только потребительские предпочтения, но и образ их жизни. Бесконтактные платежные и финансовые сервисы – это не модное течение, а современная реальность, окружающая каждого человека.

Существующие информационные технологии не только меняют современные сервисы, но и обеспечивают развитие механизмов манипулирования персональными данными, создавая угрозы безопасности для потребителей финансовых сервисов. В связи с этим, задача финансовых посредников состоит в обеспечении разумных мер сохранения полученной информации и предотвращения ее несанкционированного использования третьими лицами [2, с. 46-48].

Сохраняющиеся угрозы финансовой среды определили появление интегрального риска, как риска, объединившего различные банковские риски в единый пул, воздействие которого распространяется на все бизнес-процессы и информационные системы, участвующие в расчетах и платежах. Фактически интегральный риск формируется за счет обработки и анализа различных информационных источников, приводя к отклонениям в стандартных бизнес-процессах. Среди наиболее распространенных разновидностей данного риска можно выделить риски снижения качества управления доступом к информационным системам, контроля качества транзакций, утечки персональных данных и пр. [5, с. 73].

Целевые ориентиры развития кросс-канальных информационных решений определяют новые задачи гибридной защиты от распространения интегрального риска на всех участников финансового рынка. По мнению авторов, кросс-канальные информационные решения представляют собой автоматизированный продукт, способный анализировать информацию о ключевых бизнес-процессах, сервисах, работе сотрудников для выявления отклонений от заданных целей. В сущности, такой продукт можно сравнить с работой интеллектуальной информационной системы [6, с. 70-76], функционирующей за счет верифицированных кросс-каналов, что позволяет определить качество существующих бизнес-процессов, оптимизировать работу сети и существенно снизить трудозатраты менеджмента.

Особенности верификации кросс-каналов для выявления рисков

Использование кросс-канальной информационной системы, как превентивного инструмента защиты от интегрального риска, закономерно при выявлении бизнес-элементов на уровне функций, действий или элементов информации, содержащей в себе открытые данные. В связи с чем, процесс верификации кросс-каналов состоит в декомпозиции (разделении) функций по конечным результатам процесса, потенциально несущего риск для потребителя и провайдера финансовых услуг.

Например, стандартный процесс ввода и формирования валютного курса, являясь самостоятельным бизнес-процессом, одновременно оказывает влияние на другие процессы, связанные с обслуживанием клиентов и функционированием финансовых сервисов. Данный пример наглядно иллюстрирует процесс выявление кросс-канала, которым будет являться система формирования валютного курса.

Иными словами, под кросс-каналом следует понимать систему бизнес-процессов, одновременно аккумулирующую информацию о продукте и клиенте в информационной базе данных. Таким образом, верификация кросс-канала определяет необходимость не только выделения основного бизнес-процесса, решающего конкретные финансовые задачи, но и технологических процессов, связанных с обеспечением прав доступа и экспорта информационных данных из различных источников.

По мнению авторов, процедура верификации кросс-канала по процессам первого, второго и последующего уровней, наряду с построением цепочки взаимосвязи между клиентом и его потребительскими предпочтениями, позволяет сформировать карту интегрированного риска в разрезе всех бизнес-процессов кредитно-финансовой организации. Уже выделенный кросс-канал выполняет роль идентификатора риска на уровне выявленных взаимосвязей и закономерностей в конкретной информационной системе. Практическое использование верифицированного кросс-канала позволяет фактически нейтрализовать уже сформированный на уровне бизнес-процесса интегрированный риск, тем самым формируя устойчивую защиту на уровне объединенной информационной системы.

Факторы интегрированного риска в информационных решениях

Принято считать, что риски в информационной среде формируются изолированно друг от друга, с учетом чего создаются различные классификации, определяющие их отличия. По мнению авторов, сложившаяся методологическая основа будет закономерна лишь в условиях определения их влияния на капитал банка, тогда как в целях нейтрализации рисков их необходимо рассматривать на уровне единого комплексного процесса, требующего выявления взаимосвязи между ними в рамках кросс-каналов.

Перечислим основные интегрированные риски, которые свойственны практически любым кредитно-финансовым организациям, осуществляющим работу с большими информационными данными – BIG DATA: риски влияния человеческого фактора, обусловленные участием информационной системы в отдельных бизнес-процессах; риски, связанные с нарушением алгоритмов и методов работы с информационными данными; риски, связанные с работой технической инфраструктуры в результате внешних событий и аварийных сбоев; риски намеренного искажения информации и ее несанкционированного использования третьими лицами. В таблице 1 классифицированы распространенные виды интегрированного риска с учетом верификации кросс-канала, выделенного для их управления и нейтрализации.

Таблица 1

Виды и признаки интегрированного риска с учетом верификации кросс-канала (разработано авторами)

Фактор возникновения риска в бизнес-процессе	Признаки наличия интегрированного риска	Верифицированный кросс-канал	Методы нейтрализации риска
Снижение качества управления доступом в информационную систему	Наличие активных учетных записей, не соответствующих списку действующих сотрудников	Внутренний канал доступа в информационную систему (АБС, CRM и пр.) не контролируется	Проведение анализа активных учетных записей на предмет соответствия списку действующих сотрудников
Искажение данных в информационной системе	Превышение уровня доступа к информационным функциям	Система канала продаж с избыточными функциями доступа	Приведение выделенного доступа сотрудника в соответствие с должностными полномочиями
Недостаточный уровень контроля транзакций в информационной системе (сбои, ошибки, преднамеренные искажения)	Отсутствие регистрации транзакций на уровне АБС	Система журналирования транзакций не функционирует	Дополнение в АБС встроенных функций контроля транзакций
Задержки в предоставлении данных, установленные на основе жалоб клиентов	Превышен срок предоставления информационных данных (простои в бизнес-процессах)	Система простоев биз-нес-процессов, функционируют не стабильно	Контрольный замер времени простоев в условиях пиковой нагрузки и доработка функции своевременного предоставления данных

Окончание табл. 1

Фактор возникновения риска в бизнес-процессе	Признаки наличия интегрированного риска	Верифицированный кросс-канал	Методы нейтрализации риска
Непригодность предоставленных числовых данных для клиентов (ошибки в работе, искажения данных)	Числовые данные содержат недостоверную или непригодную для использования информацию	Система внутренней отчетности работает нестабильно	Контрольные процедуры тестирования отчетности на предмет выявления ошибок числовых данных
Фиктивные продажи продуктов клиентам (страхование, депозитные, кредитные продукты)	Дробление сумм продажи банковских продуктов и сервисов. Использование недостоверных данных клиентов при продаже банковских услуг	Система KPI содержит избыточные показатели продаж, не учитывает реальные объемы точки продаж, требования к персоналу	Скорректировать действующую систему KPI в соответствии с реальными объемами точки продаж банковских продуктов и сервисов. Включить в действующую KPI количество жалоб со стороны клиентов
Утечка персональных данных клиентов	Данные клиента находятся в открытом доступе в сети Интернет	Система информационной безопасности функционирует нестабильно (отсутствуют контрольные процедуры доступа к персональным данным)	Провести контрольное тестирование экспорта персональных данных на предмет выявления уязвимостей в системе информационной безопасности

Перечень видов и признаков интегрированного риска в разрезе верифицированных кросс-каналов не является исчерпывающим, а может дополняться и расширяться по мере возникновения новых факторов риска. Выявлению факторов риска способствуют кросс-канальные информационные решения, формирующие взаимосвязь между отклонением в бизнес-процессе и технологиями их функционирования [9, с. 370]. Поиск новых взаимосвязей и последствий отклонения в бизнес-процессах предопределил необходимость формирования качественно новой методологии оценки интегрального риска на основе кросс-канальных информационных решений.

Методология оценки интегрального риска на основе кросс-канальных информационных решений Традиционно анализ бизнес-процессов и процедуры выявления риска связаны с необходимостью преобразования качественных критериев в количественные [4, с. 138]. Такой подход используется преимущественно в управленческих целях, в целях реализации процедур риск-менеджмента, внутреннего контроля и аудита. Поэтому для оценки парциальных уровней необходимо сформировать пятиуровневую шкалу, объединяющую количественные и качественные критерии оценки (табл. 2). Каждому из значений количественной шкалы будет соответствовать уровень интегрального риска, определяемый экспертным путем. Чем ниже уровень риска, тем менее значительным будет риск его возникновения.

Таблица 2

Оценка парциальных уровней интегрированного риска (разработано авторами)

Качественные критерии риска	Количественные критерии риска
Несущественный риск	0
Низкий риск	1
Средний риск	2
Существенный риск	3
Высокий риск	4

Существует и более сложный вариант оценки парциальных уровней риска, сформированный на матричной основе, который предусматривает оценку влияния и вероятности возникновения события в зависимости от уровня интегрированного риска. Такая оценочная шкала может быть преобразована в девять уровней, однако анализ также производится на экспертной основе (табл. 3).

Таблица 3

Матричная оценка интегрированного риска (разработано авторами)

Влияние / Вероятность		Несущественное	Низкое	Среднее	Существенное	Высокое
Несущественная	0	0	1	2	3	4
Низкая	1	1	2	3	4	5
Средняя	2	2	3	4	5	6
Существенная	3	3	4	5	6	7
Высокая	4	4	5	6	7	8

Вместе с тем, следует учитывать, что практическое построение статистических моделей оценки уровней интегрированных рисков с учетом их преобразования в классифицирующие деревья или логистическую регрессию может быть затруднено ввиду недостаточного объема ретроданных не менее, чем за пятилетний период. Принимая во внимание указанные ограничения, можно использовать подходы на основе математического моделирования с использованием метода Монте-Карло выстроив дерево рисков. Основные проблемы использования такой методологии состоят в том, что, применяя ее абсолютно для всех факторов риска в разрезе бизнес-процессов, в дальнейшем необходимо формализовать подходы на основе объемного статистического моделирования и обработки большого массива результатов, что также предполагает большой объем ретроданных.

При этом интегрированный риск будет учитываться не только по бизнес-процессу, но и в разрезе верифицированного кросс-канала, примеры идентификации которого были приведены выше. В связи с чем, по мнению авторов, необходима разработка качественно новой методологии, предполагающей оценку частного фактора по выбранной шкале и дальнейшее формирование интегральной оценки, как средневзвешенной величины посредством весовых коэффициентов, определяемых исходя из степени влияния фактора интегрированного риска на результат, или посредством расчета средней оценки (когда весовые коэффициенты принимаются равными).

Оценка интегрированного риска проводится по следующей формуле:

I^1RtWt

,

Rc =

где Rc – интегрированный риск в разрезе кросс-канала; rt – уровень риска по отдельному фактору; wt – весовой коэффициент, определяемый влиянием отдельного фактора на конечный риск; N – количество факторов риска по отдельному бизнес-процессу

Важно учитывать, что величина весового коэффициента в пределах сформированной линейной модели оценки также может регулировать особый статус некоторых факторов, например обеспечивая им статус стоп-фактора. Для таких факторов может устанавливаться весовой коэффициент, многократно (в десятки и сотни раз) превышающий весовые коэффициенты других факторов, так что обнаружение высокой активности (или количественной оценки) по данным факторам «нейтрализует» значение и необходимость оценки остальных факторов.

Например [8, с. 238], искажение информации, фальсификация или подгонка предоставляемых риск-менеджеру данных являются практически «show stopper» – факторами, делающими бессмысленными дальнейшие попытки оценить влияние на риски каких-либо других показателей. Тогда как уже верифицированный кросс-канал делает возможным заранее определить область для выявления отклонений от заданных параметров или значений. Признаки наличия стоп-факторов зависят от многих дополнительных условий и могут меняться в зависимости от задачи кросс-канальных информационных решений.

При использовании подхода, определяющего интегрированный риск путем суммирования вероятностных оценок потерь, весовые коэффициенты будут одинаковы, а непосредственно учет стоп-факторов может проводиться на непараметрическом уровне – «Есть/Нет». Методология решает основную задачу оценки уровня рисков не только с точки зрения отдельного бизнес-процесса, но и с точки зрения верифицированного кросс-канала, как совокупности бизнес-процессов, связанных общим информационным пространством, на основе которого формируются данные для риск- менеджмента.

Например, для кредитно-финансовой организации уже сформированы бизнес-процессы по операциям с ценными бумагами, учету доходов и расходов и т.п., но, в то же время, есть вспомогательные бизнес-процессы определения и настройки в информационной системе лимитов операций, курсов валют, формирования контрольных отчетов и т.д. В этом случае кросс-канал будет иметь иерархическую систему частных бизнес-процессов (и оценки уровня рисков в них), а уровень рисков будет измеряться, как и по вспомогательным бизнес-процессам, в виде средневзвешенной величины, аналогично описанной ранее [3, с. 78-80].

Разработанную методологию оценки интегрального риска на основе кросс-канальных информационных решений можно использовать и с точки зрения оценочного подхода, и как аналитический (более точный) подход для выявления мошеннических действий и фальсификаций с данными. Однако наибольшую эффективность методология будет иметь для цели снижения трудоемкости обработки данных, поскольку при большом количестве разнородных факторов риска бизнес-процесса, степень связи между ними установить достаточно сложно, если не верифицировать кросс-канал для детального анализа бизнес-процесса на уровне информационных решений.

Пошаговый алгоритм использования методологии будет включать следующие этапы:

• •    определение перечня бизнес-процессов и связанных с ним информационных решений на уровне кросс-канала;

• •    формализация анализируемого бизнес-процесса или пула бизнес-процессов на основе графической нотации или текстового описания для последующей декомпозиции (разделения) на отдельные взаимодействующие задачи (узлы), углубляясь не ниже уровня (подробности), достаточного для понимания сути задачи, выполняемой узлом, и наличия в нем возможных факторов интегрированного риска;

• •    установление факторов риска в кросс-канале путем оценки уровня риска в каждом из узлов бизнес-процесса одним из описанных выше способов. При необходимости - проведение анализа сопутствующих стоп-факторов;

• •    формирование общей оценки интегрированного риска в разрезе кросс-канала с использованием взвешенного суммирования рисков, связанных с парциальными рисками узлов бизнес-процесса;

• •    разработка кросс-канального информационного решения на основе полученной оценки.

Таким образом, предложенная методология решает множество задач, не только связанных с изучением потребительских предпочтений на уровне отдельных бизнес-процессов, но и с возможностью верификации кросс-каналов, подверженных интегрированному риску ввиду искажения бизнес-процессов или мошеннических действий. Регулярная декомпозиция бизнес-процессов, оказывающих негативное влияние на деятельность кредитно-финансовой организации, позволит идентифицировать «узловые» кросс-каналы, нуждающиеся в оптимизации, как для цели достижения клиентоориентированного сервиса, так и для цели формирования достоверных данных при обслуживании клиентов.

В конечном счете, верифицированные кросс-каналы в разрезе наиболее уязвимых бизнес-процессов определяют основу для построения карты рисков на уровне кредитно-финансовой организации, а ее использование будет обосновано в целях риск-менеджмента, аудита и внутреннего контроля.

Заключение

Подводя итог рассмотрению проблемы, можно согласиться с выводом, что стратегически важным приоритетом современного кредитно-финансового сектора выступает качество используемой информации и автоматизированных решений в целях снижения рисков и неопределенности внешней и внутренней среды. В этой связи, нами были обобщены основные методологические подходы, направленные на выявление негативных связей между событием риска и информационной системой, фиксирующей отклонения от заданной цели. Развитие кросс-канальных информационных решений в будущем позволит проводить комплексную оценку возможных сценариев интегрированного риска, обеспечивая превентивные меры контроля для финансовых посредников и организаций, предоставляющих платежные и расчетные сервисы.

Благодарности

Исследование выполнено при поддержке Российского фонда фундаментальных исследований, проект № 20-010-00101\21А.