<< Предыдущая

стр. 33
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

+--------------------+------------+--------------+-----------------------------------------------------------+
¦ ¦Юниаструм ¦Visa Classic¦Карты выдаются только женщинам. Скидки в торговых точках (в¦
¦ ¦Банк ¦"Pour les¦частности, сети "Л'Этуаль") и ресторанах ¦
¦ ¦ ¦Dames" ¦ ¦
+--------------------+------------+--------------+-----------------------------------------------------------+
¦Автономная ¦Сбербанк ¦Visa Classic¦Карта предназначена для людей, активно интересующихся¦
¦некоммерческая ¦ ¦"Золотая ¦театральной жизнью. 35% скидки от стоимости театральных¦
¦организация ¦ ¦Маска" ¦билетов при заказе на сайте интернет-агентства¦
¦"Золотая маска" ¦ ¦ ¦www.kontramarka.ru, предоставляет статус VIP-клиента¦
¦ ¦ ¦ ¦агентства при совершении в течение года покупок на сумму 60¦
¦ ¦ ¦ ¦тыс. руб. или $2 тыс. ¦
L--------------------+------------+--------------+------------------------------------------------------------
Безопасность работы с картами


Общие подходы к безопасности, классификация рисков и управление ими

Служба безопасности картподразделения. Традиционный взгляд

Настоящая глава называется "Безопасность работы с картами". Это уже традиционное название
темы, в рамках которой все годы развития отечественного карточного бизнеса профессионалы понимали
работу службы безопасности собственной организации. В зависимости от масштабов банка, его
структуры, практикуются два различных организационных подхода к осуществлению "безопасной"
функции. Наиболее эффективной формой с точки зрения интересов картбизнеса является, конечно,
такая структура, при которой картподразделение располагает собственной службой безопасности.
Однако такой подход по целому ряду причин далеко не всегда и не везде приемлем, если взглянуть на
проблему с точки зрения интересов масштаба всей организации (банка). Помимо организационных и
административных причин есть важный фактор, предопределяющий такой взгляд и почти всегда
являющийся решающим, - расходы, связанные с функционированием указанной службы. Вопрос
целесообразности расходов, в свою очередь, вытекает из того факта, что функционирование отдельной
"карточной безопасности" во многом дублирует "безопасность" общебанковскую, и поэтому почти всегда
возникает соблазн сэкономить. Почему происходит дублирование функций, и каким образом принять
взвешенное решение по вопросу организации службы безопасности для обслуживания
картподразделения, мы рассмотрим в конце главы. В целом ответ будет ясен после детального
обсуждения содержания деятельности указанной службы.
Все службы безопасности окружают свою деятельность завесой секретности. Сотрудники
службы (почти всегда отставные работники МВД или ФСБ-КГБ) умеют держать марку: смотреть
проникающим взглядом, говорить туманными фразами, задавать наводящие вопросы, соответствующим
образом выглядеть. Эти навыки ловко создают образ некой сакральной деятельности, ведущейся за
дверьми их служебных комнат, оборудованных кодовыми замками. Одновременно у молодых
специалистов других подразделений, к категории которых когда-то принадлежал и автор этих арок,
создается впечатление полной защищенности от происков различных лихоимцев и шпионов
иностранных разведок.
На самом деле все обстоит гораздо сложнее. Для обеспечения эффективной защиты бизнеса
необходима обширная работа, которая основывается на глубоком знании того, как функционирует
картбизнес, как организовано картподразделение, как устроены служебные взаимоотношения между
структурными подразделениями и сотрудниками, а также многое другое. Кроме того, перед тем как
приступить к рассмотрению вопросов безопасности, представляется необходимым прокомментировать
некоторые достаточно распространенные заблуждения, возникающие в связи с организацией и работой
служб безопасности.
1. Не следует думать, что достаточно создать службу безопасности в картподразделении или вне
его. Необходимо создать систему безопасности карточного бизнеса, а соответствующая служба - это
лишь составная часть системы, хотя и главная.
2. Также не следует думать, что карт-менеджер в состоянии правильно подобрать кадровый
состав указанной службы. Идеальными кандидатурами на такую работу являются бывшие сотрудники
аналитических служб правоохранительных органов с серьезными связями в соответствующих
информационных центрах. Также полезными оказываются навыки, приобретенные в органах дознания и
следствия. Это, как правило, опытные, "тертые" офицеры, которые будут серьезно разговаривать о
трудоустройстве только со "своими". Поэтому лучше, чтобы подбор кадров осуществлял
непосредственно руководитель службы безопасности банка.
3. Нельзя создавать в коллективе атмосферу противопоставления службы безопасности и
основной части коллектива. Управление указанными отношениями почти целиком находится в руках
карт-менеджера и поэтому обязывает требовать от сотрудников службы безопасности и других
подразделений взаимной лояльности.
И наконец, в-четвертых, служба безопасности - это лишь служба, обеспечивающая
определенный режим функционирования, соблюдения установленного порядка, процедуры. Далеко не
всегда на сотрудников этой службы возможно возложить вопросы разработки новых процедур,
обеспечительных мер (не всегда у них имеется достаточная юридическая подготовка). Кроме того,
совсем уж редкость, когда бывшие офицеры в состоянии просчитать экономическую эффективность
своей работы. Все вышеизложенное не следует понимать как персональные недостатки тех или иных
должностных лиц. Просто на каком-то этапе развития карточного бизнеса банка масштабы новых задач,
или, как говорят, вызовов (challenges), уже перерастают сферу компетенции собственно безопасности и
заставляют размышлять в категориях риска и на уровне управления рисками. Что такое риск в
карточном бизнесе, мы рассмотрим ниже.
Расширенный взгляд на безопасность картбизнеса

Понятие риска является обиходным. Однако риск индивидуальный, т.е. связанный
непосредственно с жизнью и деятельностью отдельно взятого человека, является слабоуправляемым
явлением. Даже достаточно продвинутые и образованные люди при оценке риска полагаются на
интуицию или вообще о нем не задумываются.
В управленческой практике игнорирование рисков, необходимости их оценки и управления ими
может сойти с рук либо "до поры до времени", либо в том случае, если объект управления (в нашем
случае это картбизнес или картподразделение) находится во внеэкономических условиях. Характерным
признаком такого подхода является ситуация, когда любой ущерб или убыток воспринимаются как
досадная случайность, чья-то халатность и/или нерадивость, хотя, по мнению автора, любой провал
является в первую очередь признаком управленческой ошибки или, шире, некомпетентности. События,
приведшие к потерям, не подвергаются анализу и экономической оценке, из них не делаются выводы и
не предпринимаются конкретные действия. Такое положение дел сохранялось довольно долго в
отечественных банках вообще и в картподразделениях в частности вплоть до начала 2000-х гг.
Что касается картподразделений, то здесь ситуация вообще представляется особой. Как было
отмечено в разделе настоящей книги, посвященном экономическим вопросам, картподразделения до
кризиса 1998 г. вообще редко рассматривались руководством банков в качестве подразделений,
генерирующих самостоятельный поток прибыли. Рыночные задачи экономического содержания как
таковые ставились достаточно редко. Экономика деятельности и расчеты эффективности/прибыльности
основывались во многом на так называемых вмененных доходах. И наконец, картподразделения в
основном занимались обслуживанием зарплатных проектов, а экономическая оценка велась в целом по
банку в разрезе обслуживаемых корпоративных клиентов. Все указанные обстоятельства как раз и
позволяли не обращать внимания на риск как на самостоятельный фактор деятельности, требующий
управления, а ограничиваться "безопасностью" в том ее понимании, как было изложено выше. В этом
смысле некоторым особняком стояла эквайринговая деятельность тех банков, которые занимались этим
видом бизнеса целенаправленно (наиболее разумным риск-контролем всегда отличалась компания
American Express, это утверждение, кстати, справедливо не только для эквайринга, но и для
эмиссионной политики).
Была (и во многом остается) еще одна важная причина не слишком сильно утруждать себя
управлением рисками - невысокая конкурентность рынка. Картпродукты пока не "толкаются" между
собой, степень рыночного проникновения не так высока. Поэтому, например, еще редко менеджмент
всерьез рассматривает такую проблему, как правильная формулировка критерия отбора заявлений для
выпуска карт, иными словами - правильно рассчитанный критерий приемлемого риска. В основном пока
применяется критерий "прошел безопасность - не прошел безопасность".
Есть еще одна отживающая традиция, требующая модернизации взглядов на обеспечение
безопасности картбизнеса. Исходя из истории становления отечественного рынка платежных карт,
вопросы безопасности в профессиональной среде ассоциировались в первую очередь с различными
мерами по пресечению мошенничества с использованием карточных технологий. Особый интерес еще
4-5 лет назад вызывали различные семинары по безопасности, где бравого вида сотрудник УБЭП с
гордостью и захватывающими подробностями рассказывал о поимке не просто мошенника, а раскрытии
целой преступной группы, да к тому же международной. Бесспорный плюс заключается в том, что
правоохранительные органы с интересом занимаются карточной проблематикой. Также несомненно, что
менеджмент и сотрудники картподразделений должны хотя бы в общих чертах иметь представление о
практике работы милиции в отношении карточных преступников.
При этом необходимо ясно понимать следующее: банки и финансовые организации не являются
правоохранительными органами. То есть поимка, предание суду и наказание мошенника или преступной
группы есть в первую очередь дело милиции и прокуратуры. Банк в борьбе с уголовными деяниями или
попытками их совершения не обязательно должен занимать активную и инициативную позицию. Для
пояснения этой точки зрения рассмотрим пример.
Кассир обменного пункта заподозрила, что клиент предъявляет фальшивый паспорт при попытке
снятия наличных по карте. Есть два варианта поведения: первый - немедленно вызвать милицию,
добиться составления протокола, принять меры к задержанию клиента, возбуждения уголовного дела и
т.д.; второй - отказать в совершении операции без объяснения причин. С точки зрения интересов банка
разумно выбрать второй вариант, если у кассира нет каких-либо дополнительных предписаний,
требующих принять меры (оперативная ориентировка именно на обратившееся лицо).
В данной ситуации усматриваются и другие соображения. Дело в том, что в рамках уголовных
дел, даже если преступник понес заслуженное наказание от имени государства, пострадавшее лицо (в
данном случае банк) вряд ли добьется компенсации материального ущерба. С лиц, являющихся
членами преступных сообществ или "индивидуалами", взять, оставаясь в рамках закона, как правило,
нечего. То есть подача гражданских исков о возмещении ущерба экономически также необоснована.
Прощать мошеннические действия ни в коем случае недопустимо, но в то же время надо отдавать себе
отчет в том, что участие в уголовном разбирательстве является лишь дополнительным расходом для
банка. Это, в свою очередь, подводит к следующему важнейшему соображению: подходы к обеспечению
безопасности должны носить в гораздо большей степени превентивный, нежели реактивный характер.
По этой причине центр внимания должен быть смещен в сторону продумывания комплекса мер,
направленных на недопущение ситуаций, приводящих к возникновению ущерба.
Зададимся еще одним важным вопросом: являются ли прямые финансовые потери от
разнообразного рода уголовно наказуемых противоправных действий единственным источником
потенциальных потерь для картбизнеса? Более того, являются ли эти потери главными? На самом деле
ответ отрицательный: нет, не являются. Основная зона риска, в которой возникают потери картбизнеса,
заключается в кредитной природе отношений между участниками карточного рынка.
Изложенное выше подводит к соображению о том, что подход к вопросам безопасности требует
изменения. Любая система безопасности должна иметь экономическое обоснование и должна быть во
многом избавлена от груза правоохранительной логики. При построении системы безопасности и в
режиме ее функционирования необходимо в первую очередь отталкиваться от квалификации и
вероятности наступления рисков, которые могут привести к ущербу. Итак, представляется актуальным и
перспективным рассмотреть проблему безопасности работы с картами под новым, более широким углом
зрения, а именно, с позиций управления рисками карточного бизнеса банка.

Определение риска и связанные с ним понятия

Что такое риск? Наиболее правильным определением с точки зрения автора является любой вид
деятельности внутри картподразделения или на рынке, потенциально способный нанести ущерб
бизнесу. Относительно указанного определения противоправные уголовно наказуемые деяния являются
лишь частным случаем. На самом деле риск может возникнуть в результате действий или бездействия
многочисленных субъектов, определяющих состояние рынка и условия деятельности банка на нем.
Наиболее вероятными источниками риска являются непосредственные субъекты рынка: банки,
эмитенты и эквайреры, картодержатели, карточные платежные системы, торговые предприятия,
карточные мошенники, процессинговые компании. В отечественной практике к генераторам риска также
можно отнести государственные и регулирующие органы.
Для иллюстрации приведем пример риска, связанного с практикой работы платежных систем.
Известно, что некоторое время назад ассоциация Visa запретила использование российскими банками-
принципалами так называемого безлоготипного пластика для работы с банками-агентами. Это решение
хотя и зрело довольно долго, привело к прямым потерям тех банков-принципалов, которые практиковали
указанную форму работы. Потери выразились как в виде оттока клиентов, так и в необходимости
уничтожения довольно приличных запасов пластика. Ассоциация MasterCard разрешает такую форму
работы, но должностные лица, занимающиеся оценкой рисков, могли бы задаться вопросом: как долго
продлится такое положение дел?
Что касается мошенников, то необходимо уточнить это понятие. Международные системы в лице
своих банков-членов присутствуют в десятках стран с самыми разнообразными правовыми системами.
Эти системы зачастую очень далеки друг от друга в части квалификации разного рода преступлений и
видов преступной деятельности. Понятие "мошенник" может характеризоваться отличающимися
признаками преступной деятельности в разных юрисдикциях. Поэтому уместно дать отдельное
определение для использования в настоящем тексте: мошенничество - преднамеренное действие с
целью получения выгоды (денег, товаров, услуг) нечестным, обманным способом. С указанным
термином надо быть особо осторожным в отношении определения тех или иных действий клиентов (в
разговоре с ними). Мошенник или мошенничество - определения, которые могут быть вынесены только
судом при признании вины осужденного. Будучи неосторожно употребленными в деловой практике, эти
слова могут нанести отдельный ущерб, например в виде иска о защите чести и достоинства*(104).
Термин "безопасность" также будем понимать несколько шире, чем это принято традиционно.
Безопасность - обеспечение целостности организации, бизнеса, сервиса, торгового знака. В этом
определении можно выделить три составляющие безопасности: физическая защита, информационная
защита, защита от экономических посягательств.
И наконец, понятие степени подверженности риску (exposure). Под этим термином мы понимаем
суммарные финансовые потери, которые будут иметь место при реализации того или иного риска.
Данный термин в отношении картбизнеса в целом обычно употребляется в смысле реализации риска
100-процентных кредитных потерь. Для банка-эмитента он соответствует общей суммарной
задолженности картодержателей по оплате своих операций в определенный момент времени. Для
банка, выдающего наличные, - 100-процентное невозмещение сумм выданных денежных средств в
определенный момент времени. Для банка-эквайрера - 100-процентное невозмещение средств,
зачисленных на счета торговых предприятий (в случае работы по кредитной схеме возмещения). Также
можно говорить о степени подверженности какому-то одному, более детально определенному фактору
риска, например степень подверженности риску мошенничества по картам типа Classic (Standard).
В этой связи можно вспомнить досужий вопрос: что будет, если все "накроется"? Этот вопрос
обычно звучит в виде риторического восклицания сотрудников, ответственно относящихся к своим
обязанностям и подмечающих промахи руководства. Так вот, ответ на этот ужасный в своей постановке
вопрос применительно к большинству российских банков прост и совсем не ужасен: практически ничего
не случится. Банки, в основном реализующие дебетные программы эмиссии и эквайринга и защищенные
от проникновения широкого круга сторонних клиентов "безопасностью", несут маленькие кредитные
риски. Даже если банк в целом по каким-либо причинам не в состоянии далее функционировать, то
максимум, что может случиться с картбизнесом, - он просто перестанет приносить доход, остановится.
Иными словами, риски "накрыться" - это в основном риски персонала остаться без работы. Для
собственников же и менеджмента финансового риска потерь практически нет. Некоторые менеджеры, к
сожалению, осознавшие этот факт, позволяли себе относиться к управленческим обязанностям халатно
(тем более что достаточно долго на российском финансовом рынке понятие репутационного риска
вообще не было известно).
Для полноты определения риска важно еще то обстоятельство, что риск является неизбежным
явлением любого бизнеса, в частности карточного. Риск не может быть сведен к нулю, более того,
попытки ведения безрисковой деятельности со стопроцентной вероятностью приведут к экономическому
провалу. Также важнейшей характеристикой риска являются предсказуемость и численная измеримость
риска. Возвращаясь к уже сказанному, еще раз подчеркнем, что главным фактором риска в карточном
бизнесе на всех рынках является кредитный риск. Этот риск, учитывая огромный опыт, накопленный
банковской системой, является риском просчитываемым, а потому управляемым. Разумеется, есть еще
риски неизмеримые, иными словами - качественные. К таким рискам можно, например, отнести
возможность принятия решений государственными органами, препятствующих или существенно
ограничивающих возможность ведения бизнеса. Напомним пример из отечественной практики: в 1997 г.
вышло Положение ЦБ РФ*(105), по состоянию на тот момент повлекшее практически полное
прекращение банками выпуска корпоративных карт. Риск-менеджер банка, осуществляющего программу
выпуска кредитных карт, мог бы задать себе вопрос: к каким последствиям, например, приведет запрет
на предоставление потребительских кредитов посредством карт?

Классификация рисков:

Из предыдущих рассуждений явно видно, что термины "риск" и "безопасность" в управленческом
смысле не являются простыми понятиями. Существуют разные виды риска, связанные с ведением
хозяйственной, банковской деятельности и в более узком смысле с ведением карточного бизнеса. При
этом исчерпывающего перечня и однозначной классификации всех видов риска не существует. Отчасти
это связано с тем обстоятельством, что неизбежными чертами риска являются случайность и
непредсказуемость. Однако менеджмент обязан знать и уметь работать с теми видами риска, которые
уже хорошо известны и поэтому в некотором смысле предсказуемы. Перечислим их.

1 Физический риск

Под данным видом риска понимаются риски потерь, связанных с физической утратой ресурсов.
Это может означать утрату оборудования, информации, увольнение специалистов. Наиболее
значимыми для карт-бизнеса видами физического риска являются: утрата пластика,
персонализированных карт, несанкционированный доступ к содержимому банкоматов,
несанкционированный доступ в операционные системы банкоматов и терминалов, линий связи. И самое
неприятное - несанкционированный доступ в процессинговые и криптографические системы, нарушение
целостности баз данных и систем информационной безопасности.

2 Юридические риски

К данному виду рисков относятся риски потерь, вытекающих из невозможности законодательного
принуждения контрагентов к выполнению договорных обязательств. Примером указанного риска
является отсутствие у банка юридических оснований в случае закрытия клиентом карты задержать на
картсчете клиента средства, необходимые для возможного покрытия "опаздывающих" транзакций, даже
если такое положение входит в текст правил пользования картой (обычно 35 дней). По действующему ГК
РФ банк обязан вернуть средства клиента в течение 7 дней.

3 Риски взаимоотношений

Имеются в виду риски неблагоприятного развития отношений с персоналом, клиентом(-ами),
партнерами и общественностью. В качестве примера реализации последнего риска можно вспомнить
историю, относящуюся к 2000 г. В одной отечественной процессинговой компании не был должным
образом налажен контроль над доступом к информации, содержащей сведения о ПИН-кодах
держателей карт. Кроме того, у персонала были определенные претензии к менеджменту по уровню
оплаты труда. В результате по вине и при прямом участии некоторых сотрудников произошла утечка
информации о номерах карт и ПИН-кодах в криминальные круги. В результате мошеннических операций
по снятию наличных держателям карт (преимущественно иностранцам) был нанесен ущерб в несколько
десятков тысяч долларов. Было проведено оперативное внутреннее расследование, восстановлена
система, обеспечивавшая конфиденциальность, виновные наказаны, ущерб возмещен. Однако этим
дело не закончилось. Воспользовавшись прецедентом, конкуренты ловко и эффективно развернули в
ведущих бизнес-изданиях кампанию по дискредитации деятельности процессора. К большому
сожалению, потери от их действий были весьма ощутимы.

<< Предыдущая

стр. 33
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>