Социальные сети как фактор операционного риска банка

⟡ ⟡ ⟡

В рамках предлагаемой нами концепции информационной модели финансового рынка банки составляют отдельную группу субъектов информационной системы финансового рынка. Банки одновременно являются источниками и потребителями финансовой информации. Они обладают необходимой для этого инфраструктурой, технологиями и средствами передачи данных. Как известно, кредитные организации подвержены основным типам финансовых рисков — кредитному, рыночному и операцион-

ГРНТИ 06.77.65

Юрий Игоревич Новиков — доктор экономических наук, профессор, заведующий кафедрой банков и финансовых рынков Санкт-Петербургского государственного экономического университета.

Сергей Александрович Бандурко — аспирант кафедры банков и финансовых рынков Санкт-Петербургского государственного экономического университета.

Статья поступила в редакцию 03.04.2015 г.

Для ссылок: Новиков Ю.И., Бандурко С.А. Социальные сети как фактор операционного риска банка // Известия Санкт-Петербургского государственного экономического университета. 2015. № 3 (93). С. 98-102.

ному. Возрастающая зависимость современных участников финансового рынка от информационных технологий приводит к возрастающим операционным рискам.

Операционный риск — это вероятный убыток от неадекватных или неудачных внутренних процессов или систем, человеческих ошибок или внешних событий [1]. В данной статье мы рассмотрим информационно-технологическую составляющую операционного риска кредитной организации, в частности — риски, связанные с активностью банков и их сотрудников в социальных сетях.

Отказ жизненно-важной системы, потеря доступа к сети или ошибка при программировании может привести к катастрофическим убыткам. IT-отдел банка занимается управлением и оценкой технологических рисков на детальном уровне. В обязанности отдела входят сбор метрических данных, относящихся к производительности системы, исправление программных ошибок и нарушений безопасности. Эти данные могут быть использованы в качестве ключевых индикаторов риска в модели управления операционным риском кредитной организации. При этом сотрудники или отдел, ответственные за управление операционным риском, должны быть заинтересованы в понимании технологических рисков, поскольку такие риски зачастую являются первопричиной повышенных рисков в других областях деятельности организации [2].

Технологические решения могут рассматриваться как фактор снижения отдельных типов рисков и могут варьироваться от разовых ремонтно-профилактических работ до широкомасштабных проектов. Лица, ответственные за управление операционным риском, должны взаимодействовать с IT-отделом организации, чтобы правильно расставить приоритеты в борьбе с технологическими угрозами, учитывая интересы развития компании. В задачи риск-менеджеров должны входить идентификация и оценка возможных убытков от технологического риска и подбор адекватного решения для их устранения или минимизации.

Рост и повсеместное распространение современных коммуникационных технологий, таких как электронная почта, социальные сети, стационарная и мобильная телефонная связь и мессенджеры создают не только огромные возможности для обмена данными, но и значительные проблемы для пользователей. Банки уже используют эти инструменты связи для достижения своих оперативных и коммерческих целей, таких как взаимодействие с клиентами, маркетинг, обслуживание клиентов, реклама и PR, а также для привлечения клиентов и повышения их лояльности [5]. Многие кредитные организации используют внутренние социальные сети, такие как интернет-форумы, для внутренней связи. Это помогает ускорить процессы обмена информацией между сотрудниками, что повышает производительность и улучшает корпоративную культуру. Тем не менее, не многие учреждения готовы полностью контролировать потенциальные операционные риски, связанные с использованием таких передовых коммуникационных систем [4].

Рассмотрим природу операционного риска банка в социальных сетях. Социальные сети включают в себя две категории операционного риска. К первой категории относится обнаружение инцидентов, связанных с кредитной организацией. Как показано в таблице 1, такая информация может быть трех типов в зависимости от ее происхождения: из разрешенных источников; из внутренних источников, доступ к которым запрещен; из внешних источников. Первые два типа (разрешенные источники и внутренние источники, доступ к которым запрещен) присущи внутренним неструктурированным данным, таким как журналы звонков и сообщения электронной почты. Последний тип характерен для социальных сетей [7].

Таблица 1

Информация об операционном риске от социальных сетей

Обнаружение инцидентов	Обнаружение операционных рисков, связанных с активностью сотрудников банка в социальных сетях
	Внешние случаи операционных рисков, связанных с распространением неблагоприятной информации о банке в социальных сетях
	Саботаж и мошенничество с использованием социальных сетей в качестве инструмента
Применение информации об	Анализ возможных сценариев, основанных на общеизвестных негативных событиях для аналогичных банков
операционном	Оценка возможных убытков на основании общедоступных данных об убытках аналогичных банков
риске из баз	Разработка собственной базы данных событий, связанных с операционным риском данного банка
данных	Внедрение ключевых показателей риска на основе текущих отраслевых и макроэкономических данных

Информация из социальных сетей, способствующая укреплению систем управления рисками кредитной организации, составляет вторую категорию. Эти данные могут быть получены с помощью разработки сложной системы управления и оценки операционного риска, основанной на опыте аналогичных кредитных организаций. Возникает вопрос: как точно оценить операционный риск в контексте социальных сетей и научиться эффективно управлять им?

Обратимся к передовой практике операционного риска-менеджмента банка. Банки широко используют социальные сети, и поэтому им нужны сложные инструменты для обнаружения и мониторинга операционного риска. Эти инструменты необходимы, в частности, для идентификации угроз безопасности, таких как нарушение рабочих (операционных) процедур, которые достаточно сложно обнаружить. В то же время, социальные сети можно использовать для разработки и анализа сценариев, представляющих наибольшую опасность для финансовой организации. Такие сценарии могут быть основаны на информации, хранящейся в базе данных по операционному риску [6].

Идентификация операционного риска в массивах неструктурированных данных требует использования сложных алгоритмов и возможности обработки данных с высокой производительностью. В итоге такая обработка позволит сделать выводы из объемных неструктурированных данных. Применение сложных статистических моделей повышает эффективность таких систем обнаружения операционного риска. Для обработки неструктурированных данных с достаточной точностью требуется система с высокой производительностью. Такая система сбора и анализа информации об операционном риске должна иметь следующие характеристики: возможность обрабатывать большие объемы данных в режиме реального времени; наличие комплексных алгоритмов обработки событий; наличие моделей для выявления шаблонов поведения; замкнутая дискретная система для встраивания искусственного интеллекта.

Комплексная технология обработки событий со встроенным искусственным интеллектом и большими возможностями для анализа является мощным решением для обнаружения информации о наличии операционного риска из неструктурированных данных. В таблице 2 описаны шесть важнейших компонентов системы сбора и анализа информации об операционном риске

Таблица 2

Важнейшие компоненты системы сбора и анализа информации об операционном риске

Компонент	Функция
Поисковая система и интеллектуальный анализатор текста	•    Поисковая система: просматривает социальные медиа-каналы, каналы новостей, электронную почту, журналы вызовов и текстовые сообщения •    Интеллектуальный анализатор текста: производит сканирование прочих источников неструктурированных данных, включая документы и файлы
Анализатор канала данных	•    Применяет сложные методы обработки событий с помощью статистических моделей для выявления шаблонов поведения •    Применяет методы анализа больших массивов данных для создания структурированных массивов данных •    Имеет замкнутую дискретную систему, которая уменьшает количество ложных срабатываний
Автоматизированная система скоринговой оценки	• Помогает собирать, оценивать и расставлять приоритеты для полученной информации. Как и анализатор канала данных, алгоритмы скоринговой оценки имеют замкнутую дискретную систему
Система обработки маршрутизации	•    Использует бизнес-правила для классификации информации и ее маршрутизации (направления) согласно встроенным правилам документооборота •    Замкнутая дискретная система помогает повысить точность маршрутизации
Диспетчер кейсов	• Предоставляет интерфейс для всестороннего анализа информации об операционном риске, что позволяет вносить вручную информацию о нём для лучшего восприятия информации об операционном риске пользователем

Какими преимуществами обладает такая система? Система сбора и анализа информации об операционном риске может быть использована для мониторинга поддельных («фишинговых») веб-сайтов, вредоносных сообщений в Твиттере — «твитов», случайного или преднамеренного разглашения информации, утечки конфиденциальной информации и информации от инсайдеров. Кроме того, она также может собирать сообщения или «твиты» о случаях операционного риска от аналогичных кредитных организаций, которые впоследствии могут быть использованы для проработки различных сценариев.

Однако кредитная организация могла никогда не сталкиваться с определенными типами операционного риска и, следовательно, не имеет достаточно данных для моделирования риска. В таких случаях она может использовать опыт аналогичных организаций из социальных сетей, чтобы построить сценарии и адаптировать их под свои требования. Редкие случаи с тяжелыми последствиями, с которыми сталкивались аналогичные организации, могут быть обработаны для выявления возможных рисков. Кроме того, ключевые индикаторы риска, такие как прогноз изменения процентных ставок от ведущих аналитических агентств или предупреждения о надвигающемся системном кризисе, можно получить из социальных сетей и ленты новостей.

Наиболее важно, что система сбора и анализа информации об операционном риске поможет выявить нарастание различных слухов, которые потенциально могут вызвать разрушительные события, такие как паническое изъятие банковских вкладов. Такая система должна иметь возможность обнаруживать события, связанные с репутационным риском, например, негативные сообщения о кредитной организации в блогах или упоминания кредитной организации в социальных сетях в неблагоприятном контексте. Таким образом, система сбора и анализа информации об операционном риске должна отслеживать события, которые могут нанести как материальный, так и нематериальный ущерб [3].

Принимая во внимание современные вызовы в области информационных технологий и коммуникаций, кредитные организации должны составить стратегию управления операционным риском, учитывающую риски, связанные с социальными сетями. Такая стратегия должна соответствовать размеру организации и специфике ее деятельности, а также учитывать планируемую и фактическую активность в социальных медиа, согласованную со стратегическими целями компании. По мнению авторов, стратегия банка в области управления операционным риском, связанным с социальными сетями, должна содержать следующие пункты:

• •    назначить ответственных лиц в области надзора за деятельностью банка в социальных сетях и определить их обязанности;

• •    определить цели и задачи в области деятельности банка в социальных сетях;

• •    составить четкую общекорпоративную политику, которая эффективно реализует стратегические цели компании и установит параметры для допустимого применения социальных сетей, в том числе использование сотрудниками социальных сетей за пределами рабочего места;

• •    провести проверку активности банка и его сотрудников в социальных сетях;

• •    проверить соответствие текущей деятельности банка и его сотрудников в социальных сетях действующему законодательству;

• •    проводить специализированные тренинги персонала по работе в социальных сетях;

• •    провести аудит деятельности сторонних поставщиков услуг в социальных сетях по заказу банка;

• •    установить стандарты доступа к администрированию страниц банка в социальных сетях. Доступ к администрированию должен соответствовать корпоративным стандартам по защите важной информации;

• •    обеспечить внедрение системы сбора и анализа информации об операционном риске, которая должна учитывать риски, связанные с активностью в социальных сетях.

Ответственный подход к управлению и оценке операционного риска банка, связанного с социальными сетями, должен привести, по мнению авторов, к повышению уровня безопасности информационной системы финансового рынка в целом.