• для риска ликвидности (неплатежеспособности)
[59] — это потенциальные финансовые потери кредитной организации из-за хищений ее информационных активов и (или) в форме ее неспособности полностью и своевременно выполнять свои финансовые обязательства в отношении конкретных клиентов в случаях несанкционированных переводов их финансовых средств, изменений в характеристиках управления ликвидностью в условиях открытого сетевого взаимодействия (блокировка автоматизированных систем или каналов/линий связи, непредвиденный отток финансовых средств, крупномасштабные финансовые хищения, другие потери высоколиквидных активов, сбои и отказы в работе аппаратно-программного обеспечения, применяемого для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров), а также недостатки организационного характера, из-за которых финансовые обязательства перед клиентами не выполняются (таким образом возникает своего рода «персональная» неплатежеспособность, то есть в отношении конкретного клиента);
• для репутационного риска — это потенциальные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения ею обязательств перед клиентами (включая недоступность/неработоспособность/неполную функциональность/ненадежность/небезопасность ее автоматизированных систем, потерю (утечку, хищение)/искажение/чувствительных данных из-за недостатков/отказов аппаратно-программного обеспечения кредитной организации и (или) ее провайдеров (в том числе саботажа, компьютерных преступлений (мошенничеств), сетевых, хакерских, вирусных атак, несанкционированного доступа к упомянутым данным, ставших известными судебных исков или сведений о нарушениях конфиденциальности информации (банковской тайны), веб-сайтов-муляжей и т. п.), воздействия на используемые этой организацией веб-сайты (блокировка, искажение контента и пр.);
• для стратегического риска — это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).
Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними — и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.
Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях — это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков — нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.
Говоря об источниках компонентов банковских рисков, нельзя не сказать о тех, которые прямо связаны с понятием новых информационных технологий и автоматизированных систем. Известно, что если раньше внедрение этих технологий и освоение соответствующих автоматизированных систем могло растягиваться на годы, то в последнее время в условиях обостряющейся конкуренции на это уходят всего лишь месяцы. Поэтому помимо таких негативных явлений, как недостаточная отладка и неполноценные приемо-сдаточные испытания новых СЭБ или БАС (что, бывает, выясняется уже в процессе их эксплуатации), может возникать и серьезная зависимость от компаний-разработчиков таких систем. Известны случаи, когда из-за сложности найма или переподготовки собственных специалистов банки «перекупают» специалистов из этих компаний, которые и становятся «автоматически» ответственными за работу новых автоматизированных систем. С одной стороны, это весьма эффективное решение проблемы с обеспечением необходимой квалификации и требуемой в ряде случаев узкой специализации персонала, однако, с другой стороны, неизбежно возникает вопрос: кто в кредитной организации сможет проконтролировать работу таких специалистов и насколько можно быть уверенными в них (то есть в их честности и добросовестности)?
Кроме того, практика свидетельствует о том, что наблюдается нехватка специалистов, способных оценить истинные масштабы новых угроз, связанных с киберпространством, в том числе со стороны вредоносных программ разного рода
[60], с которыми может столкнуться кредитная организация и ее клиенты, разработать и внедрить эффективную политику ОИБ, грамотно построить защиту корпоративных вычислительных сетей, включая защиту от действий инсайдеров, внедрить технологию «виртуальных частных сетей»
[61], позволяющую защищать чувствительную информацию, передаваемую по сетям связи общего пользования и т. п. При этом чаще всего четкие требования к ОИБ не входят в содержание политики развития ИТ кредитных организаций и не становятся составной частью соответствующей стратегии. Из-за этого появляются компоненты банковских рисков, связанные с недостаточно проработанными планами развития технологического и технического обеспечения банковского обслуживания, выполнения банковских операций и их обеспечением, то есть соответствующим АПО и высококвалифицированным персоналом (основной ресурсной базой).
