Формализация процесса возникновения операционного риска в системах электронных денег
В.А. Кузнецов, Банк России, зам нач управления развития розничных платежей Департамента ПС и расчетов, О.С. Рудакова, ВЗФЭИ, кафедра банковских технологий, доцент, к.э.н.
"Расчеты и операционная работа в коммерческом банке",№ 4/2005
Управление операционными рисками, связанными с различными банковскими продуктами, актуально для банков, поскольку их минимизация способствует повышению кредита доверия к банкам и рейтинга надежности. Мероприятия по управлению операционными рисками значительно повышают качество банковских услуг. В данной статье рассматриваются операционные риски, связанные с функционированием электронных денег, а также методология прогнозирования данных рисков и управления ими.
Новые инновационные технические решения в сфере реализации розничных платежей привели к появлению широкого спектра платежных инструментов, в отношении которых используется термин «электронные деньги» (ЭД).
Развитие систем электронных денег порождает ряд проблем, наиболее серьезной из которых является проблема оценки потенциальных рисков, присущих данным системам. В условиях объективного существования риска в системах ЭД и связанных с ним финансовых, моральных и других потерь возникает потребность в определенном механизме принятия эмитентом ЭД управленческих решений, направленных на дальнейшее развитие таких систем, обеспечивающих эффективность и надежность их функционирования, с учетом риска.
Управление риском можно охарактеризовать как совокупность методов, приемов и мероприятий, позволяющих в определенной степени спрогнозировать наступление рисковых событий и принять меры к исключению или снижению отрицательных последствий при их наступлении.
Разработка метода управления риском — многоступенчатый процесс, конечной целью которого являются уменьшение или компенсация ущерба для объекта при наступлении неблагоприятных событий. Следует отметить, что минимизация ущерба и снижение риска — неадекватные понятия. Второе означает либо уменьшение возможного ущерба, либо понижение вероятности наступления неблагоприятных событий.
Согласно докладу «Управление рисками в банковских операциях в электронном виде и применение электронных денег», подготовленному Базельским комитетом по банковскому надзору, процесс управления рисками включает несколько основных этапов: анализ рисков, мониторинг и контроль (минимизация уровня риска). Более общая схема этапов процесса управления риском представлена на рисунке 1.
В зависимости от того, какая используется технология переноса информации в электронном виде о «денежных обязательствах» эмитента (электронные деньги), размеры и виды рисков существенно различаются, а в силу быстрых изменений в информационных технологиях ни один список рисков не может быть всеобъемлющим. Наиболее значимым из рисков является риск операционный, так как в силу многогранности его проявления прогнозирование его появления затруднено. В настоящее время общепринятое определение операционного риска отсутствует. В практической деятельности кредитных организаций под определение операционного риска подпадает любой риск, не входящий в категорию рыночного или кредитного риска; многие кредитные организации рассматривают операционный риск как риск потерь, возникающих в результате различного рода технических ошибок.
Базельский комитет по банковскому надзору принял общее для банковского сектора определение операционного риска, а именно: «риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем или связанными с внешними факторами». Определение базируется на лежащих в основе причинах операционного риска (человеческий фактор, ошибка в процессе обработки, отказ системы и внешние факторы) и предусматривает их выявление.
Этап анализа риска в системе ЭД — начальный этап процесса управления рисками, включающий в себя получение необходимой информации об инфраструктуре данной системы и имеющихся в ней рисках. Собранной информации должно быть достаточно для того, чтобы принимать адекватные решения на последующих стадиях разработки методики управления. Анализ состоит из выявления рисков и их оценки.
При выявлении операционных рисков в системе ЭД определяется весь их возможный диапазон, охватывающий наиболее существенные причины крупных операционных убытков, с которыми могут столкнуться участники данных систем. Выявление риска в системе ЭД можно подразделить на две составляющие: сбор и обработка информации о рисковых событиях, которые имели (имеют) место в системах ЭД с аналогичной схемой функционирования, а также выявление источников и причин рисков в разработанной модели схемы функционирования системы ЭД с учетом ее специфики. В процессе выявления рисков в системе ЭД следует стремиться к получению наиболее полной и достоверной информации о ней, по возможности установить (идентифицировать) все виды рисков, которые угрожают системе ЭД, и выявить возможные потери ресурсов, сопровождающие наступление рисковых событий.
Вместе с тем получение обширных данных может дорого обойтись эмитенту ЭД, разрабатывающему методику управления риском, дополнительных затрат требует также и снижение неточности информации. Необходимо учитывать и фактор времени — получение полной и достоверной информации требует значительных затрат времени, что является нежелательным в случае принятия решений в ограниченные сроки. Кроме того, отдельные виды информации часто составляют предмет коммерческой тайны, получение такой информации либо невозможно, либо также связано со значительными дополнительными затратами. С учетом изложенного в процессе выявления риска необходимо стремиться к достижению оптимального соотношения между полнотой и качеством информации, с одной стороны, и стоимостью ее получения — с другой.
Существует множество методов выявления рисков, каждый из которых помогает получить информацию о характеристиках отдельных рисков, присущих определенному виду деятельности. Однако невозможно однозначно указать, какие методы будут наиболее эффективными в каждом конкретном случае. Одни методы базируются на анализе статистических, финансовых, управленческих и иных отчетных документов организации, другие требуют непосредственной инспекции мест расположения источников опасности. Существуют методы, которые больше подходят к послесобытийным, чем дособытийным операциям.
Система ЭД представляет собой сложную систему, характерной особенностью которой является наличие большого числа взаимосвязанных элементов. В связи с этим первыми шагами по выявлению рисков в системе ЭД и их идентификации являются декомпозиция данной системы на отдельные элементы и построение обобщенной модели схемы функционирования. Анализ основных элементов схемы функционирования системы ЭД необходим для определения наиболее уязвимых мест и последующей оценки угроз безопасности и возможного ущерба с целью выбора конкретных средств защиты, обеспечивающих безопасность функционирования данной системы.
Несмотря на множественность схем реализации систем ЭД, все они включают в себя следующие основные элементы:
технические средства — ЭВМ различных типов, каналы связи, средства связи, терминалы предприятий торговли (услуг), банкоматы и другие программно-технические комплексы, обеспечивающие проведение платежей посредством ЭД;
программное обеспечение (ПО), включающее совокупность программ, поддерживающих устойчивую работу технических средств и реализующих функции и задачи информационной технологии, на которой базируются системы ЭД. К такому ПО также относятся «электронный кошелек» — программное обеспечение, инсталлированное на жестком диске персонального компьютера и предназначенное для осуществления платежей ЭД через телекоммуникационные сети, и программное приложение на микропроцессорной карте, имеющей в своем составе все компоненты ЭВМ (процессор, ОЗУ и др.);
математическое обеспечение — совокупность математических методов, моделей и алгоритмов обработки информации, используемых при решении функциональных задач. Математическое обеспечение может включать средства моделирования процессов, методы и средства решения типовых задач управления, методы оптимизации исследуемых управленческих процессов и принятия решений (методы математического программирования, математической статистики, теории массового обслуживания и т.д.).
С учетом изложенного и принимая во внимание человеческий фактор (поскольку любая операция в системе ЭД в конечном итоге исполняется человеком), представим обобщенную модель функционирования системы электронных денег (рис. 2).
Анализ этой модели функционирования выявляет две составляющие операционного риска: 1) риски, причины возникновения которых прямо или косвенно связаны с действием человека (держателя ЭД, технического персонала, обслуживающего программно-технический комплекс эмитента ЭД, и т.д.); 2) риски, возникающие из-за событий, объективно не зависящих от его деятельности (форс-мажорные обстоятельства). Для наглядности представим такое деление на схеме (рис. 3), на которой операционные риски сгруппированы по причинам их возникновения с последующей декомпозицией.
Для успешного решения проблемы управления операционным риском необходимы постоянное наблюдение, сбор, обработка и анализ данных. Для этого могут использоваться как специализированные (например, программные) средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т.п. Представляется, что такую оценку целесообразно проводить с использованием методов теории массового обслуживания, занимающейся изучением процессов в системах с многократно повторяющимися однородными событиями. Практическое использование теории основывается на построении моделей изучаемых систем, их исследовании и выявлении направлений рационального управления.
Работа системы массового обслуживания заключается в удовлетворении поступающих в нее требований (заявок) путем обслуживания с помощью соответствующих устройств (каналов обслуживания). Методы теории массового обслуживания основываются на теории вероятностей, поскольку и поступление заявок, и время их обслуживания являются случайными величинами. Система ЭД представляет собой один из типичных примеров системы массового обслуживания, где в виде потока заявок выступают электронные платежи, а в виде каналов обслуживания — система телекоммуникаций.
Решение любой задачи в теории массового обслуживания состоит из нескольких этапов: формулировка цели, сбор первичной информации, построение модели, исследование модели, выбор решения и анализ результатов. Наиболее важными этапами являются постановка задачи и построение модели, от них зависит правильность всех дальнейших действий и выводов.
Главный инструмент качественного управления — обоснованный прогноз. При разработке таких прогнозов весьма эффективными могут оказаться методы имитационного математического моделирования. В отличие от аналитического имитационное моделирование снимает большинство ограничений, связанных с возможностью отражения в моделях реального процесса функционирования исследуемой системы, динамической взаимосвязанной обусловленности текущих и последующих событий, комплексной взаимосвязи между параметрами и показателями эффективности системы и т.п.; хотя имитационные модели во многих случаях более трудоемки, менее лаконичны, чем аналитические, они могут быть сколь угодно близки к моделируемой системе и достаточно просты в использовании.
Описания компонентов реальной информационной системы в имитационной модели носят логико-математический характер и представляют собой совокупность алгоритмов, имитирующих функционирование исследуемой системы. Моделирующая программа, построенная на основе этих алгоритмов (т.е. на основе математической модели), позволяет свести имитационное моделирование к проведению экспериментов на ЭВМ путем «прогона» на некотором множестве входных данных, имитирующих первичные события, которые происходят в системе. Информация, фиксируемая в процессе исследования имитационной модели, позволяет определить требуемые показатели, характеризующие качество исследуемой системы. Имитационная модель образуется взаимодействием следующих элементов: состояний, событий, датчиков случайных чисел, таймера, цепей событий, цели моделирования, счетчиков, блока инициализации, критерия остановки, методов обработки результатов.
Обобщенная модель функционирования системы ЭД может быть формализована в общем виде как система массового обслуживания (СМО) типа G/G/n/R. С помощью такой имитационной модели СМО определяются стационарное распределение числа заявок в системе и начальные моменты распределения времени ожидания. Под событием модели понимается скачкообразное изменение ее состояния. В модели используются два класса событий: прибытие заявки и завершение обслуживания. Поток заявок моделируется как рекуррентный: момент прибытия очередной заявки получаем путем добавления случайного интервала к предыдущему, момент освобождения каналов — путем добавления к текущему моменту случайной длительности обслуживания. Упомянутые интервалы формируются посредством датчиков псевдослучайных чисел, настроенных на требуемые законы распределения.
Имитационную модель системы ЭД можно представить следующим образом. Детально моделируется обработка одного запроса (платежа) на покупку. Потоки заявок от остальных пользователей системы представляются в виде некоторого общего внешнего потока (рис. 4).
Система S1 моделирует работу терминала магазина.
Система S2 моделирует работу устройства печати (чек).
Система S3 моделирует задержку в канале передачи к серверу оператора системы ЭД при посылке запроса на оплату выбранного товара.
Система S4 моделирует задержку в канале передачи от сервера оператора системы ЭД на терминал магазина при ответе на запрос на оплату.
Система S5 моделирует работу сервера оператора системы ЭД.
Принцип работы схемы следующий.
Покупатель оплачивает товар (операция 1).
Запрос переправляется на сервер оператора системы ЭД (операция 2).
Возможны следующие варианты ответа оператора системы ЭД на запрос: оплата товара (операция 3) и отказ в оплате с указанием причины (недостаточен лимит ЭД на приобретение товара; устройство, на котором хранятся ЭД, блокировано; другие причины). Используя статистику прошлых периодов, в модель закладывают вероятность каждого из событий.
После оплаты происходит оформление покупки (операция 4).
Работа остальных терминалов по приему электронных денег моделируется общим потоком со средней интенсивностью, который поступает на сервер оператора системы ЭД.
Данная модель реализована на языке имитационного моделирования GPSS World, который является одним из наиболее распространенных языков, специально предназначенных для построения имитационных моделей. Система GPSS ориентирована на класс объектов, процесс функционирования которых можно представить в виде множества состояний и правил перехода из одного состояния в другое, определяемых дискретной пространственно-временной областью. В качестве формальных моделей таких объектов используются системы массового обслуживания, автоматы, стохастические сети, сети Петри, агрегаты и т.п.
В качестве методики организации мониторинга можно предложить следующее. С помощью стандартных программных средств в реальном времени собирается статистика, касающаяся оплат покупок. Математическими методами оцениваются параметры входного потока, которые будут являться базовыми для имитационной модели функционирования системы ЭД. Проводится моделирование поведения системы ЭД при существующем входном потоке. По результатам моделирования (прогноза по своей сути) принимается решение о дальнейшем использовании системы ЭД.
Использование предложенной модели в режиме постоянного мониторинга позволяет обнаружить ситуацию возникновения риска, учитывая следующие количественные показатели:
— коэффициент загрузки обслуживающих аппаратов (его превышение);
— среднее время обслуживания заявки;
— число входов в модель (из них с нулевым ожиданием);
— среднюю длину очереди;
— среднее время ожидания.
Анализируя в совокупности данные показатели (с учетом динамики), можно определить момент возникновения рисковых ситуаций и своевременно принять адекватные меры.