Содержание к диссертации
Введение
Глава 1. Системы электронных банковских услуг (ЭБУ): современное состояние и классификация рисков 8
1.1. Современное состояние ЭБУ и перспективы их развития в России 8
1.2. Анализ и классификация рисков систем ЭБУ 41
1.3. Проблемы, возникающие при выпуске и обслуживании карт (ВОК) в системах Интернет-банкинга 50
Выводы по первой главе 63
Глава 2. Совершенствование управления рисками ВОК в системах Интернет-банкинга на основе использования методов актуарных расчетов 64
2.1. Теоретические основы создания системы управления рисками (СУР) 64
2.2. Оценка методов управления рисками для создания СУР ВОК в системах Интернет-банкинга 70
2.3. Актуарные расчеты как основа применения метода самострахования для управления рисками ВОК в системах Интернет-банкинга 78
Выводы по второй главе 104
Глава 3. Практическая реализация СУР на основе методов самострахования и предотвращения убытков 106
3.1. Методика управления рисками ВОК в системах Интернет-банкинга 106
3.2. Рекомендации по предотвращению рисков ЭБУ 115
3.3. Разработка комплекса мероприятий по предотвращению рисков ВОК в системах Интернет-банкинга 123
Выводы по третьей главе 138
Заключение 139
Список литературы
- Проблемы, возникающие при выпуске и обслуживании карт (ВОК) в системах Интернет-банкинга
- Оценка методов управления рисками для создания СУР ВОК в системах Интернет-банкинга
- Актуарные расчеты как основа применения метода самострахования для управления рисками ВОК в системах Интернет-банкинга
- Рекомендации по предотвращению рисков ЭБУ
Введение к работе
Переход к электронному способу ведения бизнеса является одной самых ярких современных тенденций в банковском деле. Развитие новых технологий ведет к кардинальному изменению соотношения между различными видами рисков, с которым сталкиваются банки. Эта проблема в последнее время привлекает к себе все более пристальное внимание кредитных организаций, международных финансовых организаций, центральных банков развитых стран и крупнейших рейтинговых агентств.
Большинству банков в настоящее время приходится переосмысливать и менять свою рыночную стратегию в связи с тем, что вопросы сохранения доходности, расширения клиентской базы и снижения издержек остро встают перед любым из них. Одним из решений текущих вопросов является введение нового удобного сервиса, в котором будут заинтересованы старые клиенты и который привлечет новых. Таким сервисом становится обслуживание транзакций клиентов через Интернет, то есть электронные банковские услуги (ЭБУ).
Постоянные технологические инновации и конкуренция между существующими банковскими организациями и новыми участниками стали причиной появления гораздо большего количества электронных банковских продуктов и услуг, предлагаемых клиентам. Они включают в себя не только традиционные банковские услуги, такие как доступ к финансовой информации, получение кредита, открытие депозитных счетов, перевод средств на любой счет в другом банке, но и относительно новые продукты и услуги, например, платежи по электронным счетам, персонализированные финансовые «порталы» и агрегация счетов, позволяющая клиентам получать консолидированную информацию об их финансовых и нефинансовых счетах в одном месте. Сегодня банки позволяют клиентам получать в электронном виде выписки со счета, покупать или продавать иностранную валюту, а также по специальным шаблонам осуществлять коммунальные платежи, оплачивать счета за связь и пр.
Обострение конкуренции и рост ориентированности на клиентов в банковском бизнесе, деятельность на финансовых рынках других стран, сильная зависимость от прогресса информационных и коммуникационных технологий, динамичность развития сферы ЭБУ - все это приводит к возникновению новых типов и видов рисков для банков, внедряющих или планирующих внедрение системы Интернет-банкинга. Для успешного управления рисками банкам требуется создать систему организационно-экономических мероприятий, направленных на своевременное выявление и оценку потенциальных рисков, предупреждение или минимизацию последствий случайных и труднопредсказуемых событий, которые могут привести к нарушению нормального функционирования организации. Для этого необходимо определить риски, провести их классификацию и принять решение о распределении ответственности за контроль над данными рисками.
В последнее время, с усилением роли банковских карт в системах Интернет-банкинга (оплата покупок в Интернет-магазинах, перевод денежных средств с текущего счета на специальный карточный счет (СКС) и обратно и т.д.), кредитные организации уделяют все большее внимание рискам, связанным с использованием карт в данных системах и в сети Интернет в целом. В связи с актуальностью проблемы, в диссертационном исследовании подробно рассмотрены риски, возникающие при выпуске и обслуживании карт в системах Интернет-банкинга (ВОК) и являющиеся частным случаем рисков ЭБУ.
Риски, связанные с системами Интернет-банкинга, анализировались банками и ранее, однако результаты большинства отчетов имели технический характер и были направлены на защиту, в основном, информационных и операционных систем и хранящейся в них информации от различного вида угроз со стороны третьих лиц. В настоящее время этого явно недостаточно для эффективного управления рисками, связанными с системами Интернет-банкинга, и, в частности, рисками ВОК в системах Интернет-банкинга. Необходима разработка новых методов управления вышеуказанными рисками для кредитных организаций.
Целью исследования является снижение ущерба в случае возникновения рисковой ситуации в кредитной организации за счет применения системы управления рисками в сфере ЭБУ (в частности, рисками ВОК в системах Интернет-банкинга) на основе методов самострахования и предотвращения убытка. Для достижения цели диссертационного исследования были поставлены и решены следующие задачи:
Исследовать современное состояние российского рынка ЭБУ, выявить основные проблемы его развития, а также наметить пути их решения.
Определить место систем Интернет-банкинга в общей деятельности кредитных организаций и разработать классификацию систем Интернет-банкинга.
Провести анализ существующих рисков в сфере ЭБУ и разработать их классификацию с целью разработки необходимых методов управления каждой из выделенных групп.
Исследовать специфику рисков ВОК в системах Интернет-банкинга, как частного случая рисков ЭБУ, и на ее основе разработать классификацию данного вида рисков для возможного применения метода управления к каждой из выделенных групп.
Провести анализ методов управления рисками ВОК в системах Интернет-банкинга и обосновать применение методов предотвращения убытка и самострахования как средств минимизации последствий в случае возникновения рисковой ситуации в системах Интернет-банкинга.
Предложить и обосновать применение метода треугольника и актуарных расчетов при использовании самострахования в качестве инструментального средства управления рисками ВОК в системах Интернет-банкинга.
Разработать алгоритм управления рисками ВОК в системах Интернет-банкинга на основе метода треугольника и актуарных расчетов с целью их эффективного практического применения в кредитных организациях.
Разработать комплекс превентивных мероприятий по управлению рисками в сфере ЭБУ и, в частности, рисками ВОК в системах Интернет-банкинга.
Объектом исследования являются системы Интернет-банкинга, используемые кредитными организациями.
Предметом исследования является процесс управления рисками ВОК в системах Интернет-банкинга.
Метод исследования. В качестве метода научного исследования использовались: метод треугольника, применяемый в актуарной математике; методы теории вероятности и математической статистики.
Источники информации. В процессе исследования использовались работы отечественных и зарубежных экономистов, специалистов в области экономики, управления, банковского дела, риск-менеджмента, информационных систем, актуарной математики, теории вероятности, а также аналитические и тематические статьи, посвященные вопросам управления рискам в финансовой сфере и в области ЭБУ.
Особое внимание было уделено последним результатам исследований в этих областях, проведенных: Т. Маком, В.В. Диком, И.А. Киселевой, И.А. Корниловым, Г.В. Черновой, М.В. Грачевой, Д. Аглицким, А. Бурдинским, А.Ю. Голубиным, Б.А. Лагошей, Л.Н. Тэпманом, А.В. Мельниковым и др.
Научная новизна исследования состоит в разработке методики управления рисками в сфере ЭБУ, в частности, рисками ВОК в системах Интернет-банкинга. В рамках этого были получены следующие результаты:
выявлены модели построения систем Интернет-банкинга на основе анализа информации о зарубежных и российских системах;
определено наполнение понятия специфического риска, возникающего при выпуске и обслуживании карт (ВОК) в системах Интернет-банкинга, при этом в диссертационном исследовании рассматриваются виртуальные карты -банковский продукт, предназначенный для использования исключительно при расчетах в сети Интернет;
проведен анализ методов управления рисками ВОК в системах Интернет-банкинга, с учетом разработанной классификации, а также сложившейся в настоящее время ситуации в сфере ЭБУ в России, и выбраны методы предотвращения убытка и самострахования, позволяющие минимизировать возможный ущерб при возникновении рисковой ситуации;
адаптирован и получил дальнейшее развитие метод треугольника и актуарных расчетов для использования в кредитных организациях, в частности, для управления рисками в системах Интернет-банкинга. Метод позволяет определить рациональный размер страхового резерва, т.е. фонда компенсаций убытков от риска, а основные расчеты строятся с применением инструментов актуарной математики;
разработан алгоритм управления рисками ВОК в системах Интернет-банкинга на основе метода треугольника и актуарных расчетов;
- создана методика управления рисками ВОК в системах Интернет-
банкинга, состоящая из трех этапов: применение метода предотвращения
убытка для рисков ЭБУ на основе разработанного комплекса превентивных
организационных мероприятий; аналогичное применение метода
предотвращения убытка для рисков ВОК в системах Интернет-банкинга;
применение метода самострахования.
Практическая значимость диссертационной работы заключается в следующем:
используемый метод треугольника и разработанный на его основе алгоритм управления рисками позволяет рассчитать рациональный размер страхового резерва, за счет которого банк выплачивает клиенту компенсацию либо покрывает свои убытки в случае реализации рисковой ситуации;
результаты, полученные в процессе исследования, позволяют банкам проводить классификацию рисков в системах Интернет-банкинга с учетом своей специфики и необходимых требований, что дает возможность адаптировать разработанный автором метод управления риском под любую кредитную организацию;
вышеуказанный метод позволяет рассчитать рациональный размер страхового резерва, что позволяет избежать неоправданного отвлечения значительных финансовых средств от основной сферы деятельности организации и повысить эффективность деятельности кредитной организации в целом;
предложенный комплекс превентивных организационных мероприятий для управления рисками в сфере ЭБУ и рисками ВОК в системах Интернет-банкинга позволяет предотвратить возможный убыток.
Выводы, полученные в ходе исследования, могут быть использованы при обучении специалистов в области банковского дела, информационного и риск менеджмента. Положения и материалы исследования используются в учебном процессе МЭСИ и МФПА в дисциплинах «Электронные расчеты в коммерческой деятельности» и «Банковские операции в Интернет».
Метод и практические меры, предложенные автором, используются ОАО АКБ «РОСБАНК» при управлении рисками, связанными с выпуском и обслуживанием банковских карт, что позволяет снизить вероятность реализации рисковых ситуаций.
Публикации. Материалы и результаты исследований опубликованы в 6 научных работах, общим объемом 1.2 п.л. В настоящее время готовится к печати методическое пособие «Маркет ДС» общим объемом 44 п.л., написанное в соавторстве (0.4 п.л.).
Структура работы. Диссертация изложена на 152 стр. машинописного текста, состоит из введения, трех глав, выводов по главам, заключения, списка литературы и четырнадцати приложений, а также содержит 21 таблицу и 26 рисунков.
Проблемы, возникающие при выпуске и обслуживании карт (ВОК) в системах Интернет-банкинга
По данным платежной системы Visa International, в регионе СЕМЕА в последнее время произошло практически 100-процентное годовое увеличение продаж в сфере электронной коммерции, что составило 31 млн. долларов США к маю 2004 года. Годовой рост общего объема продаж для электронной коммерции продолжает быть выше среднего (63%).
В связи с усилением роли банковских карт в системах Интернет-банкинга (оплата покупок в Интернет-магазинах, перевод денежных средств с текущего счета на специальный карточный счет (СКС) и обратно и т.д.), банки и платежные системы уделяют все большее внимание рискам, связанным с использованием карт в данных системах и в сети Интернет в целом.
Банковские карты являются в настоящее время основным средством платежей в Интернете. Главной причиной этого является широкая распространенность данного платежного средства и неизменность принципов его использования при переносе в виртуальную сферу. Согласно международной классификации, сделки через Интернет относятся к типу mail order/telephone order (МО/ТО). Однако при оформлении транзакции с получением номера карты в сети Интернет, у продавца не существует возможности провести аутентификацию держателя карты при оплате товара, в чем и заключается основной риск при авторизации карты как для самого держателя, так и для банка-эмитента и торговой точки.
В связи с тем, что в настоящее время существует значительное количество видов мошенничества, возникающего при использовании банковских карт (например, генерация номера карты и тестирование счета карты; фишинг; подделка личности; мошенничество, связанное с использованием банкоматов и получением наличных денежных средств; сговор с торговой точкой; копирование магнитной полосы карты (скимминг); электронная перезапись магнитной полосы карты; изготовление белого пластика), необходимо отметить, что в данной диссертационной работе будет рассмотрен частный случай рисков ЭБУ, т.е. только те виды рисков, которые возникают для Интернет-банков при выпуске и обслуживании виртуальных карт - Virtual Cards, например, Virtual Visa Account платежной системы Visa International или MasterCard Virtual платежной системы MasterCard International. Поэтому некоторые виды рисков, возникающие при использовании карт в реальном физическом мире, не будут рассмотрены по причине их отсутствия в виртуальной сфере.
В целом, виртуальную карту можно определить как банковский продукт, предназначенный для использования исключительно при расчетах в сети Интернет. Виртуальные карты не требуют изготовления пластиковой карты, однако некоторые эмитенты воспроизводят их в виде факсимиле (контрольных карт) с номером счета для простоты контроля и для маркетинговых целей. «Контрольная карта» может быть изготовлена из бумаги, картона, металла или дерева, однако она не предназначена и не может быть использована в физическом мире. По требованиям, например, платежной системы Visa International, на «Контрольную карту» должен быть нанесен срок ее действия, но она не может содержать знак принятия карт Visa, поле для подписи, голограмму с голубем, чип, магнитную полосу, телефоны международной службы поддержки клиентов, а также любую эмбоссированную информацию, включая эмбоссированный номер счета и имя держателя. До момента активации счета эмитенты должны уведомить держателей Виртуальных карт обо всех деталях программы, включая использование номера счета, и направить подтверждение имени держателя, номера счета и даты окончания срока действия карты непосредственно самому держателю.
Виртуальная карта увеличивает уверенность клиентов в покупках товаров и услуг через Интернет, а также является средством проведения платежей в сети Интернет для новых потребительских сегментов, особенно для тех клиентов, у которых нет возможности совершать транзакции в Интернете при помощи своих существующих платежных продуктов.
Виртуальные карты позволяют банкам-эмитентам предложить своим клиентам способ разделения виртуальных транзакций от транзакций в физическом мире. Для них нет никаких новых требований безопасности и идентификации, отличных от тех, которые используются для обычных карт.
Однако Виртуальные карты должны соответствовать всем существующим и новым требованиям, которые относятся к методам идентификации в сфере безопасности для электронной коммерции.
Исходя из данного вида банковского продукта - Виртуальной карты -может быть построена следующая классификация (в основе классификации лежит источник происхождения риска), см. рис. 1.7.
Вышеуказанная классификация позволяет четко определить место каждого риска в их общей системе и создает возможности для эффективного применения соответствующих методов управления. При этом под риском в данном случае будет пониматься вероятность возникновения такой ситуации, которая повлечет за собой ущерб для клиента банка, либо для самого банка. Со стороны самого банка могут возникать риски безопасности (взлом системы, разглашение конфиденциальных данных) и операционные риски (сбой системы, перехват трафика), которые были рассмотрены ранее.
К основным типам рисков, возникающих со стороны торговой точки в сети Интернет (Интернет-магазина), можно отнести следующие [40]: 1. Недостаточное обеспечение безопасности данных со стороны торговых точек и, как результат, получение мошенниками данных о клиенте через взлом баз данных торговых точек с целью их последующего использования в мошеннических целях. В 2000 году произошло максимальное число взломов баз данных (БД) карточек в информационных системах крупных Интернет-магазинов. Например, в марте 2000 г. появилось сообщение о том, как в Уэльсе два подростка украли более 26 тысяч реквизитов карт из БД одного из электронных магазинов.. Мошенники были задержаны, однако случаи, когда взлом был обнаружен, можно пересчитать по пальцам. Самый известный произошел в конце 1999 года, когда хакер, известный под кличкой Максус, украл из базы данных покупателей крупного американского виртуального торгового центра CD Universe информацию о номерах 300 000 банковских карт. Известным этот случай стал по той причине, что Максус, вместо того чтобы продавать номера украденных карт криминальным структурам, попросил CD Universe выплатить ему $100 000 отступных. Компания отказалась, после чего информация о номерах карт 25 000 ее клиентов была вывешена в Интернете в свободном доступе.
Оценка методов управления рисками для создания СУР ВОК в системах Интернет-банкинга
Существуют связи, задающие последовательный порядок между этапами и отражающие логику процесса управления риском. Также существуют обратные связи, означающие, что имеется возможность возврата на предыдущий этап, если в результате последующего принятия решений будут выявлены важные факторы, которые не были учтены ранее. Кроме того, в связи с тем, что на этапе 5 проводится анализ всего процесса управления риском, результаты этого этапа и новая информация учитываются при принятии решений на будущее. Особое место занимает этап 3, так как именно на данном этапе принимается решение о составе и особенностях используемых методов управления риском, поэтому после него может последовать переход на этап 1 (в случае необходимости уточнения информации о рисках) либо переход на этап 5 (в случае необходимости установления ограничений для процесса мониторинга и оценки эффективности).
В связи с вышеизложенным, необходимо отметить, что управление риском является достаточно сложным процессом как по содержанию принимаемых и реализуемых решений, так и по наличию системы развитых внутренних взаимосвязей.
Как уже отмечалось в п. 2.1, на этапе 2 процесса управления риском происходит анализ основных подходов к минимизации неблагоприятного влияния случайных событий и их финансовых последствий, что позволяет выделить ряд общих процедур управления рисками. Данный анализ позволяет определить конкретные процедуры для того или иного риска, к числу которых можно отнести следующие [188]: уклонение от риска (Risk elimination), представляющее собой совокупность мероприятий, дающих возможность полностью избежать влияния тех или иных неблагоприятных событий; - сокращение риска (Risk reduction или Risk mitigation), представляющее собой те действия рассматриваемой организации, которые способствуют уменьшению неблагоприятных для нее последствий. При этом предполагается, что организация оставляет риски на своей ответственности (Risk retention или Risk assumption); передача риска (Risk transfer), представляющая собой совокупность мер, позволяющих переложить ответственность за снижение возможности возникновения неблагоприятных событий и возмещение связанного с ними ущерба на другой субъект.
Если учитывать соотношение между моментом осуществления конкретных мероприятий и моментом возникновения неблагоприятного события, все методы управления рисками условно можно разделить на две большие группы: дособытийные методы управления рисками, планируемые и осуществляемые заблаговременно и направленные на снижение вероятности наступления ущерба и уменьшение размера возможного ущерба (методы трансформации рисков - Risk control или Risk control to stop losses). Данные методы предполагают осуществление таких мер, которые будут препятствовать реализации соответствующих рисков, поэтому они часто ассоциируются с проведением предупредительных (превентивных) мероприятий; послесобытийные методы управления рисками, осуществляемые после наступления ущерба и направленные на ликвидацию последствий неблагоприятного события и возмещение ущерба. Данные методы направлены на формирование финансовых источников, используемых на покрытие ущерба, являющегося следствием реализации рисков (методы финансирования риска — Risk financing или Risk financing to pay for losses).
Для определения специфики того или иного метода управления необходимо использовать обе вышеуказанные классификации (см. таблицу 2.1).
Вышеприведенная двойная классификация позволяет более точно указать роль, место и сущность предлагаемых методов. Например, методы финансирования рисков в рамках процедуры сокращения риска различаются только источниками покрытия возникающего ущерба, а методы трансформации риска в рамках той же процедуры согласуются с различными типами превентивных мероприятий.
Помимо этого, такая классификация позволяет находить оптимальной соотношение в использовании тех или иных мероприятий, например, если организация проводит ряд превентивных мероприятий для защиты от пожара, а оставшийся возможный ущерб страхует по договору с большой франшизой и определенным лимитом ответственности. В данном случае используются мероприятия трех разных классов для обеспечения как уменьшения возможности возникновения ущерба, так и финансирования остаточного ущерба самой фирмой и страховой компанией.
К числу наиболее часто встречающихся методов трансформации рисков (Risk control) относятся следующие: отказ от риска; снижение частоты ущерба или предотвращение убытка; уменьшение размера убытков; разделение риска (дифференциация и дублирование); - аутсорсинг риска.
Вышеперечисленные методы трансформации рисков представляют собой разные процедуры управления рисками. Например, отказ от риска является единственной реализацией процедуры управления рисками «уклонение от риска». Методы снижения частоты ущерба или предотвращения убытка, уменьшения размера убытков и разделения риска представляют процедуру «сокращение риска». Метод аутсорсинга риска относится к процедуре «передача риска».
К наиболее часто используемым методам финансирования риска или покрытия убытка (Risk financing) относятся следующие методы: покрытие убытка из текущего дохода; - покрытие убытка из резервов; - покрытие убытка за счет использования займа; покрытие убытка на основе самострахования; покрытие убытка на основе страхования; покрытие убытка на основе нестрахового пула; - покрытие убытка за счет передачи этого финансирования на основе договора; покрытие убытка на основе поддержки государственных и/или муниципальных органов; покрытие убытка на основе спонсорства.
При подобном разделении первые четыре метода представляют процедуру «сокращение риска», а последние пять - процедуру «передача риска». Более подробно все вышеперечисленные методы рассмотрены в приложении 8. Как отмечалось ранее, общая стратегия развития и управления компании, а также выбранный вариант управления рисками на уровне компании определяют возможные процедуры управления рисками: сокращение риска; - уклонение от риска; - передача риска.
Актуарные расчеты как основа применения метода самострахования для управления рисками ВОК в системах Интернет-банкинга
В сфере электронной коммерции, как в и любой другой сфере человеческой деятельности, существуют риски, связанные с весьма ощутимыми убытками. Например, компьютерный вирус I Love You неоднократно прерывал работу или повредил около 70 млн. компьютеров по всему миру, при этом ущерб составил более 10 млрд. долл. В настоящее время насчитывается от 20 тыс. до 50 тыс. всевозможных вирусов, и их количество постоянно растет. По информации компании Axent Technologies (axent.com), свыше 90% торговых web-сайтов уже подвергались хакерским атакам, а по данным компании Trend Micro, в 2003 г. официальные потери компаний всего мира от компьютерных вирусов превысили 55 млрд. долл. США.
Основные типы рисков, возникающие в сфере электронной коммерции, представлены в таблице 2.3. Для предупреждения различных типов рисков в настоящее время существуют различные технические способы предупреждения соответствующих типов рисков, однако полностью устранить риски такими способами удается далеко не всегда, так как степень информационной защищенности имеет свой верхний предел, обуславливаемый свойствами имеющегося оборудования и спецификой применяемых технологий. В связи с этим дополнением к техническим способам защиты может стать страхование рисков электронной коммерции (см. рис. 2.6) [186].
С целью проведения осмотра страховая компания привлекает стороннюю компанию (сюрвейера), которая специализируется на технологиях электронной коммерции и информационной безопасности. По результатам вышеуказанного осмотра определяется перечень превентивных мероприятий (например, резервное копирование наиболее важной информации, организация технического обслуживания, соответствующего современным требованиям безопасности и надежности, осуществление мероприятий по обеспечению противопожарной безопасности, приобретение системы кондиционирования воздуха и т.п.), с выполнением которых связывается программа страхования.
В настоящее время ведущие мировые страховые компании начали активно развивать страхование рисков электронной коммерции. Одной из наиболее известных программ в данной области является Net Secure, предлагаемая страховым брокером Marsh Inc. (на начало 2000 г. было выдано около 100 полисов, а максимальное страховое покрытие по Net Secure составляло 200 млн. долл.). По данному полису предусматривается возмещение потерь, вызванных сбоями в работе сети Интернет и недоступностью сайта страхователя. Также существуют аналогичные программы страхования у следующих страховых брокеров и страховщиков: брокер Marsh Inc. - Net Secure; корпорация Lloyd s - Esurance; AIG - AIGnetAdvantage Suite; Chubb - SafetyNet; Zurich North America — E-Risk EdgeSM; St. Paul Fire and Marine - Technology s Network of Solutions .
Страхование от электронных и компьютерных преступлений в настоящее время считается более развитым сегментом рынка. В России этот вид начал развиваться несколько лет назад, когда появился спрос на данные услуги со стороны банков и иных финансовых учреждений.
В целом, страхование финансовых институтов от электронных и компьютерных преступлений может предусматривать возмещение убытков, понесенных вследствие следующих факторов: несанкционированного ввода данных или их изменения, - введения в компьютерную систему мошеннически подготовленных или модифицированных команд, - повреждения, уничтожения или перехвата информации, воздействия компьютерных вирусов и др.
В большинстве случаев страховой договор может предусматривать обязательство страховой компании компенсировать судебные расходы и прочие подобные издержки, понесенные страхователем в результате возбужденного против него судебного процесса или иного юридического разбирательства (при условии, что страховщик предварительно одобрил действия страхователя в отношении событий, связанных с принятыми на страхование рисками). Обязательным условием, предваряющим заключение договора страхования рисков электронной коммерции и договора страхования от электронных и компьютерных преступлений является проведение независимого инспекторского осмотра корпоративной информационной системы клиента. По итогам осмотра составляется отчет, содержащий рекомендательный перечень превентивных мероприятий, направленных на совершенствование системы информационной безопасности потенциального страхователя. Страховая компания может потребовать проведения этих мероприятий до заключения договора или в течение определенного срока, указанного в договоре. Невыполнение каких-либо действий, внесенных в согласованный перечень, может повлечь за собой досрочное прекращение договора страхования.
Кроме того, в страховой договор может включаться перечень стандартных правил, обеспечивающих безопасность осуществления электронных бизнес-процессов. Например, страховой брокер Marsh Inc. сотрудничает в данной области с компаниями Internet Security Systems и Protegrity, которые специализируются на разработке подобных стандартов. Потенциальный страхователь, имеющий заключение о соответствии используемого им компьютерного оборудования и программного обеспечения необходимым требованиям, может претендовать на получение скидки до 15% от страхового взноса, что стимулирует внедрение передовых технологий информационной защиты в сфере электронной коммерции.
Рекомендации по предотвращению рисков ЭБУ
Для минимизации последствий от возникновения рисковой ситуации в кредитных организациях, автором диссертации, помимо метода самострахования, также предлагается применять метод снижения частоты ущерба и предотвращения убытка, состоящий из разработки и применения комплекса превентивных организационных мероприятий. Для создания необходимых рекомендаций с целью предотвращения каждого вида риска используются разработанные автором классификации рисков в сфере ЭБУ и рисков ВОК в системах Интернет-банкинга, которые были рассмотрены ранее. В данном разделе будут рассмотрены превентивные организационные мероприятия для управления рисками в сфере ЭБУ в целом.
Быстрые темпы технологических инноваций изменяют сущность и масштаб рисков, которым подвергается банк в ЭБУ. Процесс управления рисками, включающий три основные элемента - оценка рисков, контроль и наблюдение, помогает банкам уменьшать и исключать имеющиеся риски и выявлять новые [215]. Банки могут использовать такой процесс, начиная новую деятельность в сфере ЭБУ.
Важно, чтобы всесторонний процесс управления рисками находился под тщательным наблюдением Совета директоров и высшего руководства банка, которым необходимо немедленно сообщать о новых обнаруженных и оцененных рисках в ЭБУ.
Оценка рисков представляет собой постоянный процесс и обычно включает в себя три этапа. Во-первых, банк может провести тщательный анализ определения рисков и, если возможно, представить их в количественной форме. Если риски нельзя выразить количественно, необходимо, тем не менее, установить, как возникают потенциальные риски и какие шаги следует предпринять, чтобы работать с данными рисками и ограничить их. Руководству банка следует сформировать разумное и оправданное суждение о значимости каждого риска в отношении влияния, которое он может оказать на банк (включая максимальное потенциальное влияние), и вероятности, с которой такой случай может возникнуть.
Второй этап в оценке рисков - это необходимость установления допустимого значения риска для банка, основываясь на оценках убытков, которые он может себе позволить в случае, если произошла такая проблема. И, наконец, руководство должно сравнить допустимое значение риска с оценками его значимости и влияния, чтобы установить, находится ли эта оценка в границах допустимого.
Сделав оценку рисков и их допустимого значения, руководство банка должно принять меры для управления и контроля рисков. Эта фаза процесса управления рисками включает в себя такие действия, как: - проведение политики и мер безопасности; - координирующее внутреннее воздействие; - определение и усовершенствование продуктов и услуг; - осуществление мер по установлению, что риски, связанные с работой со сторонними организациями, контролируются и управляются; - обеспечение прозрачности услуг для клиентов и их обучение; - разработка планов на случай непредвиденных обстоятельств.
Руководство должно быть уверено, что сотрудники, ответственные за обеспечение границ рисков, имеют полномочия, не зависящие от подразделения, занимающегося ЭБУ. Банки увеличивают свою способность контролировать и управлять различными рисками, присущими любой деятельности, если политика и действия зафиксированы в документах и доступны для всех сотрудников, имеющих к ним отношение.
Политика и меры безопасности - это сочетание систем, приложений и внутреннего контроля, служащих для гарантии целостности, достоверности и конфиденциальности данных и операционных процессов. Безопасность основана на разработке и введении надлежащей политики и мер безопасности для процессов в банке и для взаимодействий между банком и внешними сторонами-участниками. Политика и меры безопасности могут ограничить риск внутренних и внешних атак на системы электронного банкинга, а также риск репутации, возникающий из-за нарушений в системе безопасности.
Политика безопасности определяет действия по поддержке информационной безопасности и детализирует организацию безопасности в банке. Она также содержит нормы допустимого значения рисков для банка. Политика может определять ответственность за разработку, внедрение и соблюдение мер информационной безопасности и устанавливать процедуры оценки соответствия политики, внедрения дисциплинарных мер и нарушения безопасности.
.