Электронные деньги

     В зависимости от того, какая технология переноса информации в электронном  виде о «денежных обязательствах»  эмитента реализована в системе  электронных денег (с устройства одного держателя на устройство другого держателя или отсутствует такая возможность), а также способе хранения электронных денег на устройстве клиента (микропроцессорной карте или программном обеспечении, установленном на жестком диске персонального компьютера), размеры и виды рисков существенно различаются. В силу быстрых изменений в информационных технологиях, на которых базируются системы электронных денег, ни один список рисков не может быть всеобъемлющим. Следует пояснить, что под термином «информационные технологии» понимают систему методов и способов сбора, накопления, хранения, поиска и обработки информации на основе применения средств вычислительной техники (далее — компьютерные системы).

     В стандарте Банка России «Обеспечение информационной безопасности организаций  банковской системы Российской Федерации» под риском информационной безопасности понимается сочетание вероятности нанесения ущерба и тяжести этого ущерба.

     Специфические типы рисков, возникающие перед эмитентами электронных денег, могут быть сгруппированы согласно категориям, содержащимся в документе «Управление рисками в банковских операциях в электронном виде и применение электронных денег», подготовленным Базельским комитетом по банковскому надзору, в котором, также наиболее полно освещены проблемы управления рисками в системах электронных денег.

     С большой уверенностью можно утверждать, что риски, рассматриваемые в указанном документе, подпадают под те же общие категории, что и те, которые присущи существующим традиционным розничным платежным механизмам, расчеты в которых осуществляются посредством чеков, платежных карт: операционный риск, риск потери репутации, правовой риск и стратегический риск.

     1. Операционный риск. В настоящее время общепринятое определение операционного риска отсутствует. В практической деятельности кредитных организаций под определение операционного риска попадает любой риск, не входящий в категорию рыночного или кредитного риска; поэтому многие кредитные организации рассматривают операционный риск как риск потерь, возникающих в результате различного рода технических ошибок.

     Базельский комитет по банковскому надзору принял общее для банковского сектора определение операционного риска, а именно: «...риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем, или связанными с внешними факторами».

     Аналогичное определение принял и Банк России. Согласно Рекомендациям Банка России от 24 мая 2005 г. № 76/Т «Об организации  управления операционным риском в кредитных  организациях» под операционным риском понимается риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Определение базируется на лежащих в основе причинах операционного риска (человеческий фактор, ошибка в процессе обработки, отказ системы и внешние факторы) и предусматривает их выявление. Такое определение, основанное на «причинной модели», позволяет выработать общие подходы к управлению операционным риском в рамках финансовых организаций, деятельность которых, в том числе, связана с эмиссией «электронных денег».

     Следует отметить, что в системах электронных денег операционный риск проистекает из возможности понести убытки из-за значительных недостатков в их надежности и безопасности, которые в большинстве случаев связаны с человеческим фактором.

     Под термином «надежность» системы электронных денег понимается свойство системы сохранять во времени в установленных пределах все параметры, обеспечивающие выполнение требуемых функций в заданных условиях эксплуатации. Отечественная специализированная литература по теории надежности посвящена надежности машин и механизмов и не рассматривает данное понятие (свойство) применительно к платежным системам, представляющим собой набор инструментов, банковских процедур, технических и институциональных структур, осуществляющих безналичные переводы денежных средств между субъектами финансово-хозяйственной деятельности (кредитными организациями и их клиентами — юридическими и физическими лицами). Вместе с тем, учитывая, что системы электронных денег базируются на информационных технологиях, важным элементом которых, как уже отмечалось выше, являются компьютерные системы, представляющие собой сложный комплекс разнообразного оборудования и программного обеспечения, то такие параметры надежности как безотказность функционирования и исправность применимы к данным системам. Проблема надежности в банковском деле имеет особое значение: так как неполнота или недостоверность информации, несвоевременность или ошибки при обработке ведут не только к прямым финансовым потерям, но и к утрате доверия к банку.

     Под термином «безопасность» системы электронных денег понимается такое состояние системы, при котором с требуемой вероятностью обеспечивается ее устойчивость к случайным или преднамеренным воздействиям, которые приводят к материальному (моральному) ущербу потребителя электронных денег или их эмитента.

     Нарушения системы безопасности электронных денег могут возникнуть на уровне потребителя (держателя), предприятия торговли (услуг) или эмитента и проявиться в попытке кражи электронных денег как в процессе платежа, так и непосредственно с устройства держателя. Важно отметить, что нарушение безопасности может также привести к мошенничеству, создающему дополнительную ответственность эмитента. В связи с этим вопросы, связанные с мошенничеством в системах, являются приоритетными при проектировании данных систем. Типичные примеры мошенничества в системах электронных денег:

     - несанкционированное изменение данных (суммы, валюты) при осуществлении платежа (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);

     - отказ держателей от совершенной операции (например, от оплаты за товары (работы, услуги)). Как и с традиционными банковскими услугами, злоупотребления клиентов, умышленные или неумышленные, являются еще одним источником операционного риска. В отсутствие у эмитента адекватных мер проверки совершенных сделок, держатели могут отрицать сделки, санкционированные ими ранее, чем нанесут эмитенту финансовые убытки;

     - совершение операций под именем другого держателя. В данном случае, при осуществлении операций используются чужие идентификаторы и пароли, позволяющие получить несанкционированный доступ к устройству законного их держателя;

     - использование специальных программ, позволяющих вносить несанкционированные изменения в программное обеспечение эмитента (держателя), может привести к «ложной» эмиссии, в результате которой у эмитента возникнут непокрытые обязательства перед принимающими платежи предприятиями (торговли, услуг), которые обычно подлежат выполнению (или погашению) по номинальной стоимости. Следует отметить, что риск «подделки» возрастает, если их эмитенты не предпринимают адекватных мер по обнаружению и изъятию «подделок». Кроме того, у эмитента могут быть еще расходы по восстановлению скомпрометированной системы.

     Существуют  различные типы программных угроз. Эксперты классифицируют угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные  угрозы почти всегда ассоциируются  с вирусами. Однако вирусы являются только небольшой частью так называемых вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему («задние двери»), копируют самих себя для переполнения ресурсов («бактерии»), проникают из компьютера в компьютер по сети («черви»), или в которых декларирована одна функция, а в действительности выполняется иная («троянские кони») и пр.

     Другой  вид операционного риска возникает  в случае, если организация предполагает осуществлять эмиссию и выбирает соответствующую технологию, которая недостаточно хорошо разработана или внедрена. Кроме того, многие эмитенты предпочитают положиться на внешних разработчиков системы, на посторонних экспертов для ее внедрения и обслуживания. Реализация проекта системы с привлечением специализированных фирм-разработчиков (в первую очередь эмитенты сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов. Однако такое партнерство приводит к зависимости от указанных фирм, и общий уровень обслуживания эмитентами своих клиентов — держателей — определяется результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут не знать специфику платежей посредством электронных денег. В случае, если технология систем базируется на технологии платежей, осуществляемых через сеть Интернет (система E-cash, система PayCash и аналогичные им), или отдельные платежи посредством электронных денег осуществляются через сеть Интернет, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку в сети Интернет) может иметь материальные последствия для эмитента. В данном случае речь идет об исполнении указанными организациями своих обязательств перед эмитентом за уровень качества услуг, ими гарантируемый, а также случаи «форс-мажора», уменьшающие или приостанавливающие обязательства провайдера. Более крупные банки со значительными ресурсами могут предпочесть покупку компьютерного оборудования и операционных систем и/или разработку необходимого прикладного программного обеспечения самостоятельно. Этот вариант может дать наивысшую гибкость в части приспособления предлагаемых услуг к клиентам.

     Быстрый темп изменений, характерный для указанных информационных технологий, вызывает необходимость их модернизации, что, в свою очередь, повышает требования эмитентов к адаптационным способностям своего персонала и увеличивает опасность возникновения трудностей при переходе к более сложным интегрированным электронным решениям. Довольно часто внедрение более производительной технологии оборачивается для сотрудников эмитентов и их потребителей если не хаосом, то значительными операционным проблемами. К указанному типу операционного риска можно отнести и ошибки, возникающие во время технического обслуживания системы или при использовании специальных программ, применяемых для исправления ранее допущенных ошибок. Причиной их зачастую являются некорректные операции персонала, ошибки же вследствие неполадок в компонентах оборудования относительно редки. Еще одним источником возникновения ошибок являются исправления, вносимые в стандартные пакеты программного обеспечения (например, в «электронный кошелек») с целью удовлетворения потребностей конкретного пользователя.

     Риск, связанный с отказом в функционировании как самой системы, так и устройств  держателя, вследствие сбоев в работе программного и аппаратного компонентов  средств вычислительной техники (компьютерные системы) эмитента и/или устройства держателя, также относится к операционным рискам. Современные компьютерные системы представляют собой сложный комплекс разнообразного оборудования и программного обеспечения, неполадки в работе любого из компонентов которого могут привести к сбою в работе всей системы. Зачастую компоненты системы сконцентрированы в одном месте, что увеличивает ее уязвимость в случае непредвиденных происшествий. К существенным убыткам может привести отсутствие плана мероприятий в случае сбоев в работе компьютерной системы или низкое качество таких планов. Отсутствие такого плана ведет к задержкам при принятии управленческих решений и, соответственно, как к прямым убыткам (учитывается каждый день простоя), так и косвенным — угроза потери деловой репутации, который более подробно будет рассмотрен далее.

     К операционным рискам также относится  риск неадекватного исполнения управляющим  звеном своих обязанностей. Вся полнота  ответственности за защиту деятельности банка от рисков, описанных выше, лежит на управленческом звене кредитной  организации, которое должно обеспечить разработку:

     а) превентивных мероприятий по минимизации  вероятности возникновения нештатных  ситуаций. Примером подобных мероприятий  могут служить планировка расположения компьютерных центров, процедуры контроля за вводом информации, установка паролей доступа и т. д.;

     б) мероприятий по минимизации негативных последствий нештатных ситуаций. Такой перечень должен включать в  себя создание резервных коммуникационных и компьютерных сетей, разработку планов действий в чрезвычайных ситуациях и т. д. К подобным мероприятиям можно также отнести страхование мошенничества персонала, повреждений программного обеспечения и оборудования, неплановых затрат по восстановлению информации.

     2. Риск репутации — это риск, проявляющийся в сокращении клиентуры банков, оттоке фондов, сбросе банковских акций и пр. вследствие негативного общественного мнения о деятельности данного банка. Этот риск может быть вызван действиями, которые создают негативное общественное мнение в отношении операций банка, в результате которого способность банка устанавливать и поддерживать отношения с клиентами будет значительно ослаблена. Риск репутации может возникнуть в ответ на действия самого банка или действия третьих сторон. Он может быть прямым следствием обнародования информации о повышенном риске или проблемах в других категориях риска, в частности, в области операционного риска.