Идентификация рисков в системах электронных денег
Шамраев А. В., канд. юрид. наук, канд. экон. наук (Банк России)
Пухов А. В. (КБ «СПЕЦСЕТЬСТРОЙБАНК» (ООО))
Достов В. Л. (PayCash)
Соболев А. А. (Банк «Таврический»)
Логинов Е. А. кандидат технических наук, старший научный сотрудник, член-корреспондент Международной академии информатизации (Банк России);
Маслов А. В. (Компания Америкэн Экспресс)
Кишкурно Е. В. (Национальный банк Республики Беларусь)
Харченко В. И. (Национальный Банк Украины)
Мищенко В. И. доктор экономических наук, профессор (Национальный банк Украины)
Махаева Е. А. (Национальный банк Украины)Выдержка из книги «Предоплаченные инструменты розничных платежей — от дорожного чека до электронных денег», ЦИПСиР
Развитие систем электронных денег порождает ряд проблем как политического характера, вызывающих озабоченность центральных банков и других государственных органов, так и социально-экономического характера, таких как защита прав потребителя, конкуренция, доступность, широта применения. Учитывая это, необходимо ответственно подойти к вопросу оценки потенциальных рисков, присущих данным системам, последствия которых определены не достаточно.
В зависимости от того, какая технология переноса информации в электронном виде о «денежных обязательствах» эмитента реализована в системе ЭД (с устройства одного держателя на устройство другого держателя или отсутствует такая возможность), а также способе хранения электронных денег на устройстве клиента (микропроцессорной карте или программном обеспечении, установленном на жестком диске персонального компьютера), размеры и виды рисков существенно различаются. В силу быстрых изменений в информационных технологиях, на которых базируются системы ЭД, ни один список рисков не может быть всеобъемлющим. Следует пояснить, что под термином «информационные технологии» понимают систему методов и способов сбора, накопления, хранения, поиска и обработки информации на основе применения средств вычислительной техники (далее — компьютерные системы).
В стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» под риском информационной безопасности понимается сочетание вероятности нанесения ущерба и тяжести этого ущерба.
Специфические типы рисков, возникающие перед эмитентами ЭД, могут быть сгруппированы согласно категориям, содержащимся в документе «Управление рисками в банковских операциях в электронном виде и применение электронных денег», подготовленным Базельским комитетом по банковскому надзору1, в котором, также наиболее полно освещены проблемы управления рисками в системах электронных денег.
С большой уверенностью можно утверждать, что риски, рассматриваемые в указанном документе, подпадают под те же общие категории, что и те, которые присущи существующим традиционным розничным платежным механизмам, расчеты в которых осуществляются посредством чеков, платежных карт: операционный риск, риск потери репутации, правовой риск и стратегический риск. Проанализируем эти виды рисков.
Операционный риск. В настоящее время общепринятое определение операционного риска отсутствует. В практической деятельности кредитных организаций под определение операционного риска попадает любой риск, не входящий в категорию рыночного или кредитного риска; поэтому многие кредитные организации рассматривают операционный риск как риск потерь, возникающих в результате различного рода технических ошибок.
Базельский комитет по банковскому надзору принял общее для банковского сектора определение операционного риска, а именно: «...риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем, или связанными с внешними факторами».
Аналогичное определение принял и Банк России. Согласно Рекомендациям Банка России от 24 мая 2005 г. № 76/Т «Об организации управления операционным риском в кредитных организациях» под операционным риском понимается риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Определение базируется на лежащих в основе причинах операционного риска (человеческий фактор, ошибка в процессе обработки, отказ системы и внешние факторы) и предусматривает их выявление. Такое определение, основанное на «причинной модели», позволяет выработать общие подходы к управлению операционным риском в рамках финансовых организаций, деятельность которых, в том числе, связана с эмиссией «электронных денег».
Следует отметить, что в системах ЭД операционный риск проистекает из возможности понести убытки из-за значительных недостатков в их надежности и безопасности, которые в большинстве случаев связаны с человеческим фактором.
Под термином «надежность» системы ЭД понимается свойство системы ЭД сохранять во времени в установленных пределах все параметры, обеспечивающие выполнение требуемых функций в заданных условиях эксплуатации. Отечественная специализированная литература по теории надежности посвящена надежности машин и механизмов и не рассматривает данное понятие (свойство) применительно к платежным системам, представляющим собой набор инструментов, банковских процедур, технических и институциональных структур, осуществляющих безналичные переводы денежных средств между субъектами финансово-хозяйственной деятельности (кредитными организациями и их клиентами — юридическими и физическими лицами). Вместе с тем, учитывая, что системы ЭД базируются на информационных технологиях, важным элементом которых, как уже отмечалось выше, являются компьютерные системы, представляющие собой сложный комплекс разнообразного оборудования и программного обеспечения, то такие параметры надежности как безотказность функционирования и исправность применимы к данным системам. Проблема надежности в банковском деле имеет особое значение: так как неполнота или недостоверность информации, несвоевременность или ошибки при обработке ведут не только к прямым финансовым потерям, но и к утрате доверия к банку.
Под термином «безопасность» системы ЭД понимается такое состояние системы, при котором с требуемой вероятностью обеспечивается ее устойчивость к случайным или преднамеренным воздействиям, которые приводят к материальному (моральному) ущербу потребителя электронных денег или их эмитента.
Нарушения системы безопасности ЭД могут возникнуть на уровне потребителя (держателя ЭД), предприятия торговли (услуг) или эмитента и проявиться в попытке кражи ЭД как в процессе платежа, так и непосредственно с устройства держателя. Важно отметить, что нарушение безопасности может также привести к мошенничеству, создающему дополнительную ответственность эмитента. В связи с этим вопросы, связанные с мошенничеством в системах ЭД, являются приоритетными при проектировании данных систем. Типичные примеры мошенничества в системах ЭД:
- несанкционированное изменение данных (суммы, валюты) при осуществлении платежа ЭД (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);
- отказ держателей ЭД от совершенной операции (например, от оплаты ЭД за товары (работы, услуги)). Как и с традиционными банковскими услугами, злоупотребления клиентов, умышленные или неумышленные, являются еще одним источником операционного риска. В отсутствие у эмитента ЭД адекватных мер проверки совершенных сделок, держатели ЭД могут отрицать сделки, санкционированные ими ранее, чем нанесут эмитенту финансовые убытки;
- совершение операций с ЭД под именем другого держателя. В данном случае, при осуществлении операций используются чужие идентификаторы и пароли, позволяющие получить несанкционированный доступ к устройству законного их держателя;
- использование специальных программ, позволяющих вносить несанкционированные изменения в программное обеспечение эмитента (держателя ЭД), может привести к «ложной» эмиссии ЭД, в результате которой у эмитента возникнут непокрытые обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг), которые обычно подлежат выполнению (или погашению) по номинальной стоимости. Следует отметить, что риск «подделки» ЭД возрастает, если их эмитенты не предпринимают адекватных мер по обнаружению и изъятию «подделок». Кроме того, у эмитента могут быть еще расходы по восстановлению скомпрометированной системы.
Существуют различные типы программных угроз. Эксперты классифицируют угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные угрозы почти всегда ассоциируются с вирусами. Однако вирусы являются только небольшой частью так называемых вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему («задние двери»), копируют самих себя для переполнения ресурсов («бактерии»), проникают из компьютера в компьютер по сети («черви»), или в которых декларирована одна функция, а в действительности выполняется иная («троянские кони») и пр.
Следует отметить, что одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника — оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. В настоящее время существуют программы, которые автоматически ищут слабые места в безопасности компьютера, сообщают об обнаружении проблем, чтобы затем эти проблемы могли быть решены. Указанные программы, к ним относятся, например SАТАN (Security Administrator Tool for Analyzing Networks) и СОРS (Computerized Oracle and Password System), могут быстро протестировать компьютер или компьютеры в сети на сотни известных слабых мест. Подобная функциональность делает эти средства очень полезными для тех, кто ищет в системе наиболее уязвимое место, чтобы затем ее «вскрыть».
Другой вид операционного риска возникает в случае, если организация предполагает осуществлять эмиссию ЭД и выбирает соответствующую технологию, которая недостаточно хорошо разработана или внедрена. Кроме того, многие эмитенты предпочитают положиться на внешних разработчиков системы ЭД, на посторонних экспертов для ее внедрения и обслуживания. Реализация проекта системы ЭД с привлечением специализированных фирм-разработчиков (в первую очередь эмитенты сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов. Однако такое партнерство приводит к зависимости от указанных фирм, и общий уровень обслуживания эмитентами своих клиентов — держателей ЭД — определяется результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут не знать специфику платежей посредством ЭД. В случае, если технология систем ЭД базируется на технологии платежей, осуществляемых через сеть Internet (система E-cash, система PayCash и аналогичные им), или отдельные платежи посредством ЭД осуществляются через сеть Internet, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку в сети Internet) может иметь материальные последствия для эмитента. В данном случае речь идет об исполнении указанными организациями своих обязательств перед эмитентом за уровень качества услуг, ими гарантируемый, а также случаи «форс-мажора», уменьшающие или приостанавливающие обязательства провайдера. Более крупные банки со значительными ресурсами могут предпочесть покупку компьютерного оборудования и операционных систем и/или разработку необходимого прикладного программного обеспечения самостоятельно. Этот вариант может дать наивысшую гибкость в части приспособления предлагаемых услуг к клиентам.
Быстрый темп изменений, характерный для указанных информационных технологий, вызывает необходимость их модернизации, что, в свою очередь, повышает требования эмитентов ЭД к адаптационным способностям своего персонала и увеличивает опасность возникновения трудностей при переходе к более сложным интегрированным электронным решениям. Довольно часто внедрение более производительной технологии оборачивается для сотрудников эмитентов ЭД и их потребителей если не хаосом, то значительными операционным проблемами. К указанному типу операционного риска можно отнести и ошибки, возникающие во время технического обслуживания системы или при использовании специальных программ, применяемых для исправления ранее допущенных ошибок. Причиной их зачастую являются некорректные операции персонала, ошибки же вследствие неполадок в компонентах оборудования относительно редки. Еще одним источником возникновения ошибок являются исправления, вносимые в стандартные пакеты программного обеспечения (например, в «электронный кошелек») с целью удовлетворения потребностей конкретного пользователя.
Риск, связанный с отказом в функционировании как самой системы ЭД, так и устройств держателя ЭД, вследствие сбоев в работе программного и аппаратного компонентов средств вычислительной техники (компьютерные системы) эмитента ЭД и/или устройства держателя ЭД, также относится к операционным рискам. Современные компьютерные системы представляют собой сложный комплекс разнообразного оборудования и программного обеспечения, неполадки в работе любого из компонентов которого могут привести к сбою в работе всей системы. Зачастую компоненты системы сконцентрированы в одном месте, что увеличивает ее уязвимость в случае непредвиденных происшествий. К существенным убыткам может привести отсутствие плана мероприятий в случае сбоев в работе компьютерной системы или низкое качество таких планов. Отсутствие такого плана ведет к задержкам при принятии управленческих решений и, соответственно, как к прямым убыткам (учитывается каждый день простоя), так и косвенным — угроза потери деловой репутации, который более подробно будет рассмотрен далее.
К операционным рискам также относится риск неадекватного исполнения управляющим звеном своих обязанностей. Вся полнота ответственности за защиту деятельности банка от рисков, описанных выше, лежит на управленческом звене кредитной организации, которое должно обеспечить разработку:
а) превентивных мероприятий по минимизации вероятности возникновения нештатных ситуаций. Примером подобных мероприятий могут служить планировка расположения компьютерных центров, процедуры контроля за вводом информации, установка паролей доступа и т. д.;
б) мероприятий по минимизации негативных последствий нештатных ситуаций. Такой перечень должен включать в себя создание резервных коммуникационных и компьютерных сетей, разработку планов действий в чрезвычайных ситуациях и т. д. К подобным мероприятиям можно также отнести страхование мошенничества персонала, повреждений программного обеспечения и оборудования, неплановых затрат по восстановлению информации.
Риск репутации — это риск, проявляющийся в сокращении клиентуры банков, оттоке фондов, сбросе банковских акций и пр. вследствие негативного общественного мнения о деятельности данного банка. Этот риск может быть вызван действиями, которые создают негативное общественное мнение в отношении операций банка, в результате которого способность банка устанавливать и поддерживать отношения с клиентами будет значительно ослаблена. Риск репутации может возникнуть в ответ на действия самого банка или действия третьих сторон. Он может быть прямым следствием обнародования информации о повышенном риске или проблемах в других категориях риска, в частности, в области операционного риска.
Риск репутации может возникнуть, если системы ЭД не функционируют эффективно, как ожидалось, и тем самым вызывают широкую негативную реакцию пользователей (как держателей ЭД, так и предприятий торговли (услуг), принимающие в оплату за реализуемые товары ЭД) данных систем. Значительная брешь в системе безопасности, будь она результатом внешнего или внутреннего вмешательства, также может подорвать доверие пользователей. Такой риск может возникнуть в случаях, когда держателей ЭД испытывает трудности с совершаемыми операциями, поскольку не получил адекватной информации — как пользоваться услугой и каковы процедуры разрешения проблем (например, таких как: утеря ЭД и/или специального средства, сбои при осуществлении платежей ЭД и т. п.)
Репутации банка может быть нанесен ущерб при обслуживании в рамках Проекта платежей посредством ЭД. Хорошо организованный маркетинг, включая раскрытие информации, является одним из способов обучения потенциальных клиентов и помогает ограничить риск репутации. Клиенты должны понять, что именно они могут обоснованно ожидать от той или иной услуги либо вида обслуживания, а также каким рискам они могут подвергаться и какие выгоды получить в случае осуществления платежей в рамках данной системы. Собственно концепции маркетинга необходимо четко координировать с адекватными заявлениями относительно раскрытия информации. Банкам не следует рекламировать свою систему ЭД, основываясь на тех свойствах или параметрах, которыми данная система не обладает. Маркетинговая программа должна представлять продукт объективно.
Ошибки и мошенничество третьей стороны также могут поставить банк перед риском репутации. Значительные потери, вызванные ошибками других учреждений, которые предлагают аналогичные продукты или услуги в сфере розничных платежей, могут привести к тому, что клиенты банка будут относиться к его услугам подозрительно, даже если сам банк не имеет таких проблем.
Риск репутации возможен в случае прямых целенаправленных нападок на банк. Например, хакер, проникнув в банковскую «паутину», вносит изменения, чтобы умышленно распространить неправильную информацию о банке и его услугах.
Риск репутации имеет значение не только для отдельно взятого банка, но и для всей банковской системы. Если, к примеру, репутации банка/эмитента ЭД, оперирующего в глобальном масштабе, нанесен значительный ущерб, безопасность других банковских систем может быть поставлена под вопрос. В крайних случаях такая ситуация может привести к перебоям всей банковской системы.
Правовой риск, связанный с эмиссией ЭД, возникает из нарушений действующего законодательства в силу того, что операции с ЭД относительно новы, права и обязанности участников таких сделок во многих случаях, как правило, не вполне определены, и юридические реалии оформляются медленнее, чем экономические. Это расхождение особенно заметно в сфере розничных услуг, расчеты в которой осуществляются данными платежными средствами.
Судебное разбирательство, в котором участвует банк, может повлечь определенные издержки, а судебное решение — отрицательные имущественные последствия как для данного банка — эмитента ЭД, так и для других банков.
В дополнение к этому, правовой риск может возникнуть из-за сомнения в действительности некоторых соглашений, заключенных путем электронных средств. Технология платежей ЭД выходит за рамки национальных границ. Возникают вопросы, связанные с необходимостью соблюдения различных национальных законов и инструкций, включая законы защиты прав потребителя, правила приватности и законы по «отмыванию денег». Неправильная их оценка, а также существующая неопределенность в отношении указанных новаторских платежей, может привести к непреднамеренному нарушению законодательства тех стран, где такие платежи осуществляются, что в конечном итоге ведет к правовым рискам.
Много убытков связано с некачественной юридической документацией. Установленный в банках порядок обязательного визирования юристами договоров и процедур снижает этот риск. Проблемы, по мнению специалистов, возникают либо по причине недостаточной квалификации работников юридической службы, либо по причине их невнимательности (последнее происходит, как правило, в случае слишком высокой загруженности работников). Кроме того, много усилий приходится прилагать для своевременного внесения изменений в документацию в условиях часто меняющегося законодательства (решение проблемы облегчает установленная должным образом процедура мониторинга нормативной базы). Специалисты в этой области рекомендуют применять «правило существенности», когда внимание юристов концентрируется на операциях, несущих «значительный» (определяемый для каждого банка индивидуально) риск потери денежных средств, а также «правило особого подхода к нестандартным операциям» (означает, что для всех договоров, отличных от стандартных, устанавливается индивидуальный порядок рассмотрения).
Системы ЭД могут быть привлекательны для реализации всевозможных схем, связанных с легализацией доходов, полученных преступным путем (общепринятый термин — «отмывание» денег). Поскольку платежи ЭД анонимны и могут производиться на расстоянии, эмитенты могут столкнуться с возрастающими трудностями в применении традиционных методов обнаружения и предотвращения криминальной деятельности. Проблема идентификации клиентов при совершении платежей посредством ЭД, особенно если платежи согласно российскому законодательству и нормативным актам Банка России подлежат особому контролю, стоит остро. Согласно Федеральному закону от 7 августа 2001 г. № 115/ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» операции с денежными средствами подлежат обязательному контролю, если сумма, на которую она совершается, равна или превышает 600 тыс. руб. либо равна сумме в иностранной валюте, эквивалентной 600 тыс. руб., или превышает ее, а по своему характеру данная операция относится к одному из видов операций, установленных ст. 6 Закона. Суть контроля сводится к обязательной идентификации лица (данные паспорта, адрес места жительства и пр.), осуществляющего такую операцию, а также требованию документально фиксировать и представлять в уполномоченный орган не позднее рабочего дня, следующего за днем совершения операции, сведений по указанным операциям. Однако технология платежей посредством ЭД (например, с использованием предоплаченных карт с микропроцессором) позволит «обналичить» сумму денежных средств, попадающую под обязательный контроль, который в силу указанных причин неосуществим, или осуществить перевод, минуя банковскую систему.
На международном уровне эта проблема подверглась тщательному анализу со стороны специалистов в ходе многосторонних обсуждений в рабочих группах по противодействию отмыванию незаконных средств (FATF) «большой семерки». В июне 1996 года к Рекомендации FATF была добавлена рекомендация № 13, которая гласила, что «... все страны должны обратить особое внимание на схемы «отмывания» денег, свойственные новым или развивающимся технологиям и предпринимать меры для предотвращения их использования в подобных схемах...»
Проблема, связанная с «отмыванием денег», также отмечается в докладе Группы десяти «Электронные деньги: защита потребителя, применение закона, надзор и проблемы операций через границу», подготовленном в апреле 1997 г.
Эмитенты ЭД могут столкнуться с правовым риском в отношении охраны «приватности» клиентов — держателей ЭД. Клиенты, которые не были адекватно информированы о своих правах и обязательствах, могут возбудить против эмитента дело. В некоторых странах в этом случае к банку могут быть применены регулирующие санкции.
Стратегический риск отражает текущее и перспективное влияние на доходы или капитал ошибочных управленческих решений, несоответствующей реализации решений или недостаточной способности к ответным действиям на изменения в отрасли. Этот риск зависит от совместимости стратегических целей той или иной организации, деловых стратегий, разработанных для достижения этих целей, ресурсов, отведенных для данных целей и качества реализации стратегий. Ресурсы, требуемые для осуществления деловых стратегий, делятся на материальные и нематериальные. Они включают каналы связи, операционные системы, сети доведения услуг, а также управленческие способности и возможности. Собственные характеристики конкретной организации должны быть оценены в сопоставлении с воздействием экономических, технологических, конкурентных, регулятивных и других внешних факторов. Банк, взявший на вооружение новую технологию, получает наибольшую прибыль в случае верного ее выбора, поскольку отсутствует конкуренция на быстрорастущем сегменте финансового рынка (банк фактически является монополистом), и наоборот, терпит максимальные убытки, если сделанный выбор ошибочный — ставка на крупные вложение в стратегические инвестиции проиграна.
Руководство банка должно осознать риски, связанные с эмиссией ЭД до принятия решения о разработке конкретного вида деятельности. Банку следует также оценить, располагает ли он достаточной квалификацией и ресурсами для идентификации, мониторинга и контроля рисков, которые могут возникнуть при осуществлении указанной деятельности.
До внедрения услуги, связанной с платежами ЭД, руководству следует рассмотреть вопрос о том, насколько данная услуга и технология согласуются с «материальными» деловыми целями в стратегическом плане банка, т. е. удовлетворяет ли она тем или иным конкретным деловым потребностям, а не самой услуге как независимой цели. Банковские эксперты в области технологий совместно с маркетинговым и операционным персоналом должны участвовать в данном процессе планирования и принятия решений.
Им следует удостовериться в том, что план согласуется с общими деловыми целями своего банка и не выходит за пределы устойчивости банка к риску от внедрения новых технологий в сфере розничных платежей. Соответственно, стратегическое видение должно определять тот способ, которым розничный бизнес будет разрабатываться, реализоваться и контролироваться.
Прочие риски.
Некоторые из традиционных рисков в банковском деле — кредитный, риск потери ликвидности, рыночный риск — также могут иметь место при совершении операций с ЭД, хотя их практические последствия для банков и органов надзора носят иной масштаб, нежели риски, о которых было упомянуто выше. Особенно правдиво это утверждение в отношении банков, которые заняты различной банковской деятельностью (операции с ценными бумагами, трастовые операции, кредитные и т. д.) и эмиссия ЭД занимает незначительную ее часть, в отличие от банков, специализирующихся только на услугах в сфере розничных платежей.
Кредитный риск — риск, который состоит в неспособности либо нежелании партнера действовать в соответствии с условиями договора. Этот риск имеет отношение не только к кредитованию, но и к другим операциям, которые находят свое отражение в балансе банка или на внебалансовом учете (вложения в ценные бумаги, гарантии, акцепты и др.).
Кредитный риск в системе ЭД может возникнуть при условии инкорпорирования в схему эмиссии ЭД — кредитной схемы, т. е. эмиссия электронных денег (выпуск денежных обязательств) будет осуществляться эмитентом не до получения денежных средств в размере не менее объема принимаемых эмитентом на себя обязательств (эмитируемой денежной стоимости), а в кредит. Такая схема эмиссии ЭД будет не только противоречить правовой природе электронных денег и законодательным инициативам в сфере регулирования ЭД международными институтами, но и ее реализация на территории Российской Федерации не представляется возможной.
Риск потери ликвидности — связан с возможным невыполнением банком своих обязательств или необеспечением требуемого роста активов. Когда у банка недостаточна ликвидность, у него часто возникают трудности с покрытием дефицита путем увеличения обязательств либо путем быстрой реализации без значительных потерь и по приемлемой цене части своих активов. В результате затрагивается доходность банка. В крайних вариантах недостаток ликвидности приводит к неплатежеспособности банка. Риск потери ликвидности может быть значительным для банков, специализирующихся на операциях с электронными деньгами, если они не в состоянии обеспечить фонды, за счет которых банк исполняет свои обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг). В дополнение к этому, неспособность вовремя исполнить свои обязательства может привести к судебным искам против банка и ущербу его репутации.
Рыночный риск связан с убытками по балансовым и внебалансовым статьям из-за колебаний рыночных цен. В соответствии с общепринятыми правилами бухгалтерского учета такие риски обычно обнаруживаются при осуществлении банком операций на рынке независимо от того, идет ли речь о долговых инструментах или об акциях самого банка. Специфическим элементом рыночного риска является валютный риск (изменения курса валют). Такому типу риска подвержены банки, принимающие в обеспечение эмиссии ЭД иностранную валюту.
Выполненный анализ рисков в системах ЭД показал, что, несмотря на многообразие видов рисков и способов их проявления, наиболее сложным видом, с точки зрения его выявления и общего влияния на безопасность работы системы ЭД, можно считать операционный риск в части несанкционированной эмиссии ЭД, т. е. появление в системе фальшивых электронных денег. Последствия такого риска могут быть катастрофическими для всей системы ЭД, так как это напрямую связано с возникновением риска потери репутации, правового и стратегического риска. К сожалению, никакими превентивными мерами нельзя исключить возникновения несанкционированной эмиссии, поэтому единственно возможной мерой противодействия можно считать своевременное обнаружение этого факта в реальном времени, т. е. оперативно фиксировать момент возможного использования фальшивых электронных денег. Решение этой проблемы возможно только при использовании современных информационных технологий, включая методы математического моделирования. Таким образом, возникает задача разработки математической модели системы ЭД. Однако наличие такой модели еще не гарантирует получения окончательных результатов исследований, которые можно было бы положить в основу выработки решений по предотвращению операционного риска в части несанкционированной эмиссии ЭД. Для того, чтобы это стало возможным, необходимо решение еще одной задачи — определения методов и приемов практического применения математической модели, которые гарантировали бы достоверное прогнозирование последствий атаки. С целью выявления нарушений системы защиты операторы системы электронных денег на постоянной основе должны осуществлять мониторинг системы ЭД, применяя специально разработанную методику, базирующуюся на методах математического моделирования и современных информационных технологиях.
1 Следует отметить, что Базельский комитет является консультационным органом, в связи с чем, его рекомендации не являются обязательными к исполнению. Однако, учитывая высокий авторитет этого международного института, многие страны, даже не являющиеся его членами, стараются следовать рекомендуемым им стандартам, в том числе в сфере регулирования розничных платежей (www.bis.org).