Интернет-банкинг: основные банковские риски и их компоненты технологического характера Подготовлено преподавателями Аитметовой Д. И. Кореневым О. В.
При подготовке слайд - фильма использованы материалы семинара Отдела Интернет - банкинга Департамента банковского регулирования и надзора Банка России г. Орел, октябрь 2008 г.
Базовые определения банковского риска « Обобщенное определение » (по материалам зарубежных источников) «Банковский риск – это возможный финансовый ущерб для капитала или доходов кредитной организации, который может иметь место вследствие ее банковской деятельности» vs «Банковский риск - это оценка значимости возможного ущерба финансовым ресурсам и доходам кредитной организации, который обусловлен применяемыми ею способами ведения банковского дела»
Типичные банковские риски (ТБР) Кредитный риск Операционный риск Ценовой риск Риск ликвидности Валютный риск Правовой риск Процентный риск Риск репутации Страновой риск Стратегический риск
Операционный риск - возможные текущие и перс- пективные финансовые потери, обусловленные ошиб- ками при выполнении банковских операций (что может привести к неправильной реализации учетно-расчет-ных процедур), мошенническими действиями в отно-шении кредитной организации (включая несанкциони-рованные транзакции, хищения финансовых средств в электронной форме и пр. ), нарушением непрерывнос-ти и/или нештатным функционированием автоматизи- рованных систем кредитной организации, используе- мых для осуществления банковской деятельности (с учетом возможных аварий, отказов и сбоев оборудо- вания самой кредитной организации и провайдеров необходимых ей услуг, в каналах связи и т. п. , из-за чего возможны потери клиентских транзакций, данных и невыполнение обязательств перед клиентами).
Риск ликвидности - возможные в перспективе финансовые потери, обусловленные неспособностью кредитной организации своевременно и полностью выполнить свои финансовые обязательства перед кли- ентами из-за изменения характеристик управления лик- видностью в условиях открытого сетевого взаимодей- ствия (непредвиденный отток средств, финансовые хищения в крупных размерах, несанкционированные переводы средств, другие потери высоко ликвидных активов, сбои в работе аппаратно-программного обес- печения, отказы и нарушения непрерывности функцио- нирования оборудования, как самой кредитной органи- зации, так и ее провайдеров, применяемого для осу- ществления банковской деятельности, ведущие к невы- полнению обязательств перед клиентами).
Правовой риск - возможные финансовые потери, обусловленные нарушением кредитной организацией положений нормативно-инструктивных документов, регламентирующих банковскую деятельность, и/или за- конодательной неопределенностью отдельных аспек-тов предоставления банковских услуг (включая санк-ции за нарушения правил выполнения банковских опе-раций, несоответствие требованиям бухгалтерского учета и, как следствие, – недостоверность банковской отчетности, возможную потерю данных и утечку значи-мой банковской информации, включая случаи наруше-ний банковской тайны, неконтролируемую противо-правную деятельность, а также недостатки, обуслов-ленные несовершенством аппаратно-программно-ин- формационного обеспечения банковских операций, – как самой кредитной организации, так и провайдеров).
Риск репутации - возможные в перспективе финан- совые потери, обусловленные формирующимся нега- тивным общественным мнением в отношении кредит-ной организации из-за невыполнения (нарушения) ею обязательств перед клиентами (включая функциональ- ную недоступность ее автоматизированных систем, по- терю (искажение) банковских и/или клиентских данных из- за отказов аппаратно-программного обеспечения – как в самой кредитной организации, так и у ее провай-деров, потерю клиентов и отток заемных средств из-за таких факторов как компьютерные хищения, судебные иски, появление общедоступных сведений о наруше-ниях конфиденциальности информации и/или банковс-кой тайны, утечке / потере / искажении значимой клиент-ской информации, неработоспособности систем, несанкционированного воздействия на Web-сайт и т. п. ).
Стратегический риск - возможные текущие и перс- пективные финансовые потери, обусловленные непра- вильными деловыми решениями и/или несоответст- вующей реализацией основных бизнес-решений в кре- дитной организации, что приводит к невозможности достижения ею своих бизнес-целей и/или чрезмерным затратам на внедрение и сопровождение используемых банковских технологий (включая неправильное распре- деление ресурсов, ошибки в выборе и комбинации ви-дов предоставляемых банковских услуг, неадекватные технологические и организационно-технические реше-ния, неоправданные вложения крупных средств в не- перспективные проекты, нефункциональность систем, ошибки, допущенные в маркетинговой, рыночной, кон- курентной политике и т. п. ).
Специфика технологии Интернет-банкинга и предметной области дистанционного банковского обслуживания Независимость от: Характеристики: - времени суток - простота - местоположения - удобство - способа доступа - скорость Основной проблемный вопрос для кредитных организаций: необходимо убедиться в том, что выгоды, получаемые от примене- ния технологий дистанционного банковского обслуживания будут больше, чем возможные потери из-за затрат на внедрение и эксп- луатацию таких технологий и компенсацию реализации рисков, связанных с ведением банковского бизнеса в киберпространстве Особенность предметной области: проблематичность точного определения области осуществления банковского регулирования и банковского риск-фокусированного надзора
Варианты реализации Интернет-банкинга Информационный - электронные банковские системы 1 -го уровня: маркетинговая информация Коммуникационный - электронные банковские системы 2 -го уровня: электронная почта, запросы, заявки, обновление стандартных файлов данных Операционный - электронные банковские системы 3 -го уровня: управление счетами Основной негативный фактор : из-за различий в практической реализации технологий Интернет-банкинга возникает необходимость в точном учете конкретного состава реально действующих факторов риска в каждом конкретном случае
Основные факторы, повышающие уровни банковских рисков при использовании электронного банкинга Ø «виртуальный» характер дистанционных банковских операций Ø доступность «открытых» телекоммуникационных и компьютерных систем Ø чрезвычайно высокая скорость выполнения транзакций Ø глобальный характер межсетевого операционного взаимодействия Ø участие компаний-провайдеров в реализации банковского обслуживания Ø возможность использования технологий электрон- ного банкинга для противоправной деятельности + специфические особенности конкретных технологий электронного банкинга
Консолидированное управление риском, связанным с клиентами кредитных организаций ( окончание ) При осуществлении банков- «В Интернет никто не знает, что ты - собака» ского обслуживания через Интернет кредитной органи- зации следует принимать специальные меры иденти- фикации клиентов и контро- ля над их действиями, осо- бенно при массовом дистан- ционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требу- ет, в общем случае, регуляр- ного подтверждения иден- тичности клиентов, в том числе в целях противодейст- вия возможному противо- правному использованию Интернет-банкинга. www. cartoonbank. com
Основные банковские риски и учет их компонентов технологического характера ? Считается, что использование кредитной организацией новых компьютерных технологий приводит к возникновению новых видов банковских рисков, которые необходимо учитывать в процессах выявления, анализа, мониторинга и оценки рисков ? Вследствие применения кредитными организациями новых информационных технологий, в особенности технологий дистанционного банковского обслуживания, расширяется состав источников (факторов) банковских рисков и изменяются (смещаются) «профили риска» , характеризующие их деятельность Расширение состава учитываемых при риск-фокусированном подходе банковских рисков может привести к «размыванию» и чрезмерному усложнению методологии выявления, анализа, оценки, мониторинга банковских рисков, а также управления ими Целесообразна модификация традиционного подхода
Особенности дистанционного взаимодействия «клиент – банк» с позиций риск-фокусированного банковского регулирования и надзора 2 объекты доступа 1 субъекты доступа Идентификация (? ) Аутентификация (? ) Верификация (? ) 3 полномочия доступа
Основные зоны концентрации источников и факторов рисков в информационном контура Интернет-банкинга, подлежащие учету во внутрибанковских процессах Провайдеры Интернет-провайдер клиента услуг Клиент Процессы Интернет-провайдер банка управления и контроля Банк Сетевая IDS Маршрутизатор Внутренняя сеть Прокси-сервер Сервер Web-сайта
Системные источники рисков, рассматриваемые в рамках надзора в области Интернет-банкинга Любое внедрение кредитной организацией Интернет- технологий и выход ее в Сеть приводит к возникновению факторов риска, связанных с базовыми принципами, лежащими в основе Интернет Внутренние угрозы Внешние угрозы Мошенничество Проникновения Вредительство Взломы Ошибки Катастрофы Сбои Аварии Отказы Аварии Ошибки
Учитываемые угрозы банковским операциям и банковской / клиентской информации Потоки данных, передаваемых, получаемых и хранимых в процессе банковской деятельности, представляют собой сведения о тех или иных активах и о конкретных инструкциях, описывающих управление этими активами Данные могут быть: Операции могут быть: - похищены - имитированы - изменены - искажены - уничтожены - блокированы Необходимо обеспечение постоянной авторизации, верификации и контроля обрабатываемых финансовых и других данных и осуществляемых с ними операций
КТО УГРОЖАЕТ? ? ? n ХАКЕРЫ (HACKER) n КРЭКЕРЫ (CRACKER) n ФИШЕРЫ (PHISHER) n КАРДЕРЫ Хакер
Пример муляжа WEB-сайта КО, предназначенного для выманивания персональных регистрационных данных https: //db-direct. db. com/u/eb/Login_Main. serv
Атака типа «Отказ в обслуживании» (ОСС) - Эй, привет, ты там ? - Привет, я здесь. А ты там ? са ия ан ац се ци - Да, я тут ! Слушай, что мне нужно. . . ни Website И - А я и не собираюсь Распределенная отвечать !!! атака й! еча Плохой не отв но Объект атаки Парень зови, - Эй, привет, ты там ? Вы - Привет, я здесь. А ты там ? - Эй, привет, ты там ? - Привет, я здесь. А ты там ? Поэтому. . .
Проблема Outsourcing’а для кредитных организаций с точки зрения банковского регулирования и надзора Аутсорсинг - привлечение сторонних организаций для заказного выполнения процедур, необходимых кредитной организации для осуществления ею банковской деятельности или, с функциональной точки зрения : Аутсорсинг - совокупность услуг, предоставляемых кредитной организации провайдерами и поставщиками Возможна потеря контроля со стороны кредитных организаций над банковскими и клиентскими данными, передаваемыми на аутсорсинг, и подверженность действию факторов рисков, связанных с провайдерами
Возможные дополнительные проблемы внедрения и применения технологии Интернет-банкинга Несоответствие функциональных возможностей систем ! Интернет-банкинга требованиям кредитных организаций Сложность интеграции систем Интернет-банкинга с банковскими ! автоматизированными системами кредитных организаций Недостаточная подготовка клиентов кредитных организаций для ! работы с современным программным обеспечением Неудовлетворительное состояние законодательной базы, ! регламентирующей работу с электронными документами Отсутствие полного доверия к провайдерам услуг, требуемых ! кредитным организациям, и операторам связи Недостаточная подготовка персонала кредитных организаций ! для работы с системами дистанционного обслуживания Низкое качество каналов и линий связи, требуемых кредитным ! организациям для дистанционного обслуживания клиентов
Консолидированное управление риском, связанным с клиентами На основе материалов Базельского комитета по банковскому надзору Подчеркивается важность принципа: Банк должен иметь возможности мониторинга своих клиентов при совершении ими операций Приятие эффективных стандартов «Знай Своего Клиента» - это существенная часть банковской практики управления рисками Банки, не имеющие адекватных программ управления риском, свя- занным с принципом «Знай Своего Клиента» (ЗСК), подвержены значительным рискам, в особенности правовому и репутационному Наличие в банках надежной политики и процедур ЗСК: - способствуют обеспечению безопасности и надежности банка; - содействует защите целостности банковской системы за счет снижения вероятности превращения банков в «механизмы» отмывания денег, финансирования терроризма и реализации других незаконных действий.
Использование технологий электронного банкинга в легализации доходов, полученных преступным путем Российские «Грязные» банки деньги ООО «Шанс» ООО «Шутка» ООО «Трюк» ООО «Финт» ООО «Фокус» Оффшорный банк «Z» Оффшорный банк «X» «Чистые» деньги Internet Оффшорный банк «Y»
Базовая причина усугубления проблемы обеспечения информационной безопасности Банки всегда подвергались рискам, связанным с ошибками или мошенничеством, но с внедрением современных компьютерных технологий уровень таких рисков и масштаб их влияния существенно изменились, поскольку возможности и последствия реализации рисков такого рода значительно расширились
Ключевые риски, связанные с электронными банковскими операциями: Ø риски, связанные с зависимостью от поставщиков и провайдеров Ø риски, связанные с обеспечением безопасности, целостности и конфиденциальности банковских данных Ø риски, связанные с авторизацией, аутентификацией и подтверждением достоверности и прав пользователя Ø риски, связанные со стратегией ведения дела и деловыми операциями Ø риски, связанные с планированием непрерывности деловых операций Ø риски, связанные с допустимостью проведения тех или иных операций и правовыми вопросами Ø риски, связанные с компьютерными преступлениями и отмыванием денег
Риски, связанные с банковскими информационными системами: Ø стратегический риск (обусловлен недостатками в стратегии развития информационных технологий и ее несоответствием корпоративным целям) Ø риск управляемости (обусловлен недостаточной гибкостью и обеспечением информационных технологий) Ø риск эксклюзивности (обусловлен недостаточной защитой против несанкционированного доступа к системам и отдельным средствам в их составе) Ø риск целостности (обусловлен неточностью, неполнотой информации или несвоевременностью ее поступления) Ø риск контролируемости (обусловлен недостаточной функциональностью средств контроля) Ø риск непрерывности (обусловлен недостаточной доступностью для работы самих информационных технологий) Ø риск пользователя (обусловлен неправильным использованием информационных технологий)
Типы « рисков, характеризующих электронную обработку данных в банках » , рассматриваемые Базельским комитетом банковского надзора риск непредусмотренного раскрытия информации риск ошибок риск мошенничества риск прерывания операций риск неэффективного планирования риски, связанные с действиями клиентов В документах БКБН, посвященных описанию и анализу типичных банковских рисков, перечисленные риски не упоминаются
Возможная схема выявления источников рисков как вероятностных событий Вид угрозы для кредитной организации Источник банковского риска Объекты, подверженные риску Оценка возможных потерь Оценка значимости (последствий) потерь Возможности парирования риска
Скачать презентацию Интернет-банкинг: основные банковские риски и их компоненты
ИБ риски.ppt 4 курс.ppt