В настоящее время украинские банки стремительно развивают карточный бизнес. В то же время, увлекаясь наращиванием темпов эмиссии, недостаточное внимание отводится отдельным вопросам организации бизнеса, а именно, принципам его безопасности и процедурам внутреннего контроля. В статье предлагается понятие карточного риска, как отдельной категории операционного риска и необходимость построения действенной системы внутреннего контроля. Nowadays Ukrainian banks make a great develop of card business. In the same time taking a great interest in steady raising of the rate of emission and aquire, we pay less attention to some questions of business organization, indeed to principles of security and internal control procedures. In the article there is a concept of card business like individual category of operational risk and necessity of effective system of internal control.
Ключові слова:
257
Діяльність фінансово-кредитних інституцій в усьому світі значно змінилась за останні десятиліття завдяки розвитку інформаційних технологій, появі різноманітних похідних фінансових інструментів, виникненню електронної торгівлі, що об’єктивно зумовлює існування ризику в усіх сферах господарської діяльності. З іншого боку, ринкове середовище вносить у діяльність як підприємств, так і банківських установ елементи невизначеності і поширює «асортимент» ризикових ситуацій, які виникають при присутності конкретних умов та обставин [3, с. 84]. Безумовно, це стосується і карткового бізнесу, в природі якого існує ризик, який є наслідком впливу як зовнішніх, так і внутрішніх факторів.
Працюючи з платіжними картками, банк стикається з проблемою шахрайства. Зі зростанням обсягів бізнесу і темпів його розвитку тим складніше вирішується ця проблема. Не є таємницею, що сьогодні прибутковість банків від карткового бізнесу зрівняна з доходами карткових шахраїв. Втім, це ті самі гроші, які кожен день втрачають банки та їх клієнти. Сьогодні в Україні відслідковується тенденція збільшення збитків унаслідок несанкціонованих дій у сфері інформаційних технологій та безготівкових розрахунків. Шахрайство у сфері платіжних карток варто віднести до одних із найбільш небезпечних, так як їх негативний вплив відображається не тільки на роботі банку, а й інших суб’єктів господарської діяльності. Повноцінний ринок платіжних карток в Україні тільки формується, але очевидно, що недооцінювати систему безпеки та контролю у системі безготівкових розрахунків, вкрай легковажно.
Відповідно до норм міжнародних платіжних систем (за даними MasterCard) середній рівень шахрайства у світі не повинен перевищувати 0,07 % від обороту операцій з платіжними картками. У 2002—2003 роках рівень шахрайства в Україні перевищував світові показники як в регіоні СЕМЕА (регіон, до складу якого входить Україна), так і в світі в цілому. Збитки у сфері карткового бізнесу виникають унаслідок:
• несанкціонованих дій персоналу банку, їх недостатньої компетенції, залежність від окремих спеціалістів;
• технологічного збою, недосконалістю програмного забезпечення, комунікаційних систем;
• недостатності внутрішнього контролю та аудиту.
До найпоширеніших фактів шахрайства відносяться операції з підробленими, вкраденими/втраченими платіжними картками («скімінг», «фішинг», генерація номерів карток, викрадення заготовок платіжних карток), повторне (несанкціонованого держателем платіжної картки) проведення розрахунків, використання
На разі, у практиці вітчизняних банків використовуються різні підходи до моніторингу операції, процедур контролю, ідентифікації та оцінки ризиків, управління ними, які не завжди адекватні нагальним потребам бізнесу. Найбільшу небезпеку створює нерозуміння важливості цього питання в організації цього виду банківської діяльності і, як свідчить практика, заходи ризикуменеджменту банківські установи не впроваджують на початкових етапах організації бізнесу, а розпочинають тільки після власного «негативного» досвіду та на вимогу платіжних систем.
Однією із причин недосконалості системи внутрішнього контролю карткового бізнесу є недостатня вивченість цього питання на теоретичному рівні. В Україні дослідженню окремих питань безпеки та ризиків карткового бізнесу присвячені праці А. С. Савченко, С. Л. Цокола, П. М. Вертузаєва, А. М. Герасимовича. Вагомий внесок у становлення карткового бізнесу зробили російські фахівці В. М. Соскін, Н. М. Іванов, А. С. Воронін, Т. Б. Рубінштейн, О. В. Мірошкіна та ін. Праці переважної більшості вказаних фахівців присвячені дослідженню становленню карткового бізнесу, основам функціонування платіжних систем та окремим питанням безпеки. Значно менше уваги приділяється аналізу причин збитків за картковими операціями, процедурами внутрішнього контролю та аудиту.
У поточний час вже розроблено та закріплено на законодавчому рівні (нормативні акти НБУ) загальні підходи та методичні рекомендації до системи ризик-менеджменту в банку та процедур внутрішнього контролю загалом. Ці норми повинні бути покладені в основу програм банку по оптимізації й карткового ризику.
Втім, часто ці вимоги ігноруються, не розуміються у поєднанні з технологічними особливостями бізнесу, та як наслідок не застосовуються або не застосовуються в повній мірі.
Негативним моментом є й те, що на рівні Національного банку країни не викладені вимоги саме щодо організації заходів контролю до карткового бізнесу. Таким чином при загрожуючих об-
особливостей технології проведення розрахунків з використанням платіжних карток (здійснення операцій на понадлімітні суми), технологічні збої, халатність або помилки персоналу, порушення у організації технологічного процесу, втрата банківської інформації, підключення електронного обладнання для копіювання інформації під час проведення розрахунків на термінальному обладнанні (банкомати, термінали) та інші види шахрайства (різноманітні комбінації вищевикладених видів або нові види, які тільки-но з’явились та ще не вивчені).
Питання управління ризиками, застосування процедур контролю у карткових технологіях перш за все передбачено у правилах міжнародних платіжних систем, вимогах нормативних актів НБУ щодо операційної роботи. Також обговоренням цієї проблематики та відпрацювання заходів опікується й Українська міжбанківська Асоціація членів платіжних систем ЕМА. Зокрема, прес-релізи, пропозиції до проектів законодавчо-нормативних актів, матеріали конференцій періодично висвітлюють тематику безпеки карткового бізнесу.
Вагомим досягненням у вивчення цього питання, є безумовно, перше в Україні повне, фундаментальне дослідження теорії платіжних систем здійснене авторами навчального посібника: В. А. Ющенко, А. С. Савченко, С. Л. Цокол, І. М. Новак, В. П. Страхарчук. Платіжні системи. — К.: Либідь, 1998. — 416 с. Питання безпеки платіжних систем, заходи захисту інформації та управління ризиками у платіжних системах висвітлюються окремим розділом. Однією із причин високого рівня ризику платіжних систем, вважають автори, є значні обсяги та розміри виконуваних у цих системах операцій. Ризик втрат для учасників платіжних систем пояснюється ними через помилки, надзвичайні події (порушення енергопостачання, порушення зв’язку, стихійні лиха), шахрайства, банкрутства одного чи кількох учасників платіжних систем, невизначеність щодо остаточного виконання платіжних зобов’язань [2, с. 47].
Також у посібнику надається основне бачення системи управління ризиками у платіжних системах. Враховуючи, що платіжні картки є одним із видів платіжних інструментів, безумовно, ці напрацювання є певним поступом у сфері теоретичних напрацювань вітчизняних економістів. Враховуючи, що предметом дослідження цієї праці є платіжні системи загалом, тому навіть такі прогресивні напрацюванні є не достатніми для практичного застосування в організації карткового бізнесу.
Досить прогресивним є систематизація та викладення на основі практичного досвіду питань внутрішнього контролю та безпеки карткового бізнесу російських банків, які викладені у книзі: «Пластиковые карты» — 5-е изд., перераб. и доп. Автор проекту
Воронин А. С., Издательская группа «БДЦ-пресс», 2005. — 624 с.
Однією із ключових тем є забезпечення безпеки карткового бізнесу, визначення ризиків та пов’язаних з ним понять, класифікація ризиків та управління ними.
сягах шахрайства та завданих ними збитків, центральний банк країни залишається поза проблемою та не вживає належних адміністративних та інших регулюючих заходів.
На наш погляд це перше за темою дослідження саме цього аспекту карткового бізнесу, узагальнення досвіду накопиченого російськими банками протягом останнього десятиріччя у поєднанні з нормативними вимогами міжнародних платіжних систем. Автори розуміють необхідність розгляду карткових ризиків за функціональною ознакою і розглядають їх у цьому аспекті. Ними пропонується наступна класифікація карткових ризиків [3, с. 288]:
| Фізичний ризик |
Ризик втрат, який пов’язаний з фізичною втратою ресурсів (втрата бланків карток, персоналізованих карток, несанкціонований доступ до вмісту банкомату і терміналів, комунікацій, у процесингові системи |
| Юридичний |
Ризик втрат, який є наслідком складнощів у виконанні договірних зобов’язань |
| Ризик взаємовідносин |
Ризики розвитку негативних відносин з персоналом, клієнтами, партнерами та суспільством |
| Фінансові ризики |
Ризики прямих фінансових втрат. Цей ризик найбільш наглядний, так як він підлягає кількісному вимірюванню |
| Загально організаційні ризики |
Ризики, які є наслідком з помилково поставлених цілей, неправильної стратегії, неадекватного сприйняття ринку та помилкового маркетингу |
| Операційний ризик |
Група ризиків, яка безпосередньо пов’язана з проведенням поточних операцій |
| Ризики, що пов’язані з новими клієнтами |
Окрема категорія ризиків (на погляд авторів, найбільш суттєва) пов’язана з прийняттям неправильних рішень стосовно співробітництва з тим чи іншим клієнтом |
На наш погляд, визначення карткових ризиків повинно базуватись на загальних методологічних підходах до системи ризику взагалі. Картковим операціям притаманні всі ризики банківської діяльності. Разом з тим, необхідно поглибитись у ті сфери діяльності, які мають технологічні особливості, певну специфіку і створюють ризик, який доцільно розглядати як суто картковий.
Ризики банківської діяльності доцільно оцінювати з погляду на їхнє значення. У контексті банківської системи оцінка ризику визначає сфери діяльності, які в сукупності можуть становити неприйнятний рівень ризику для банківської системи [ 3, с. 92]. Нещодавній перегляд окремих положень Базельського комітету (перегляд чинної Базельської угоди та включення до нових норм, які набули чинності у 2005 р.) дозволяють банківським установам використовувати свої моделі для визначення розміру регулятив-
Виходячи з викладеного, на наш погляд, сутність карткового ризику як складової операційного ризику полягає в наступному. Картковий ризик — це потенційний ризик для банку, що виникає через недоліки корпоративного управління, системи внутрішнього контролю або неадекватність інформаційних технологій і процесів оброблення інформації з точки зору керованості, універсальності, надійності, контрольованості і безперервності роботи. Також, наслідком реалізації цього ризику є шахрайство, яке може бути зумовлено як зовнішніми, так і внутрішніми факторами.
Для побудови системи внутрішнього контролю у картковому бізнесі, варто визначити основні категорії карткового ризику. Залежно від ознаки, яка покладається в основу, можливо розглядати різні класифікації карткового ризику, а саме: причин виникнення:
• внутрішні — обумовлені організацією карткового бізнесу у банку,
• зовнішні — є наслідком змін у ринковому середовищі та дії суб’єктів поза межами банку (шахрайство); місця виникнення:
• локальні — ризики, що виникають на території України та знаходяться під впливом особливостей розвитку карткового та інших фінансових ринків;
• міжнародні — ризики, що виникають за кордоном; сфери походження:
• шахрайського походження — ризики, що виникають унаслідок цілеспрямованих дій злочинців (як у системі банку, так і поза її межами);
• операційно-технологічні — ризики, що виникають внаслідок недоліків корпоративного управління, системи внутрішнього контролю або неадекватності стратегії, політики і використання інформаційних технологій і процесів обробки інформації непередбачених подій (пожежі, катастроф), особливостей функціонування платіжних карток;
• кредитні — ризики, що виникають кожного разу, коли банк надає кошти або бере на себе зобов’язання про їх надання (ліміти кредиту, овердрафту та заборгованість, яка може виникати в силу технологічних особливостей карток);
ного капіталу по кредитним ризиках. З точки зору карткового бізнесу одним із суттєвих змін у механізмі оцінки ризиків є виділення їх у спеціальну категорію операційних ризиків і включення їх до сукупності ризиків при розрахунку мінімальних вимог до капіталу в розмірі 20 % від загальної суми (1, 6 % від 8 %).
• інші, які притаманні банківській діяльності (ринкові, валютні, репутації, юридичний, стратегічний); сфери впливу:
• прямі — ризики, що безпосередньо впливають на розвиток та організацію карткового бізнесу,
• непрямі — ризики, що опосередковано впливають на розвиток та організацію карткового бізнесу; причин походження:
• цілеспрямовані — направлені на нанесення фінансових та інших збитків банку, клієнтами та іншим партнерам бізнесу;
• нецілеспрямовані — ризики, що виникають внаслідок особливостей функціонування платіжних карток; можливості управління:
• керовані — ризики, що можуть бути ідентифіковані, підлягають кількісній оцінці та управлінню з боку банку,
• з обмеженою можливістю управління — ризики, які неможливо попередити, але існує можливість обмеження,
• некеровані — ризики, що виникають поза сферою контролю банку;
• інші (неочікувані ).
Враховуючи особливості технології здійснення операцій, принциповим є поділ ризиків на ризики банка-емітента та банка-еквайра.
До ризиків банка-емітента належать — заборгованість держателя платіжної картки перед банком-емітентом, що не була обумовлена договором і не є прогнозованою в розмірі та за часом виникнення, позалімітні операції (технологічна та функціональна особливість карток кредитного типу) — можливість несанкціонованого використання коштів з карткових рахунків, застосовуючи технологію здійснення операцій по картках без отримання авторизації (підтвердження дозволу на проведення операції) від банка-емітента, високотехнологічні шахрайські програми («піратські» програми) для генерації реально існуючих номерів карток, втрата інформації — незаконне отримання інформації від службових осіб платіжних систем, підприємств, що забезпечують процесинг, комунікації, торговельних точок банка для подальшого шахрайського використання, втрата бланків платіжних карток — викрадення або передача заготовок шахраям співробітниками банку, фабрик, що мають доступ до нього, при надсиланні реального пластику банку — для виробництва підроблених карток, помилки у бухгалтерському обліку та платіжних документах, що супроводжують розрахунки — навмисне коригування елект-
Ризики банка-еквайра — здійснення операцій по кредитних картках у середовищі Інтернет, по пошті, телефону без дозволу власника картки, втрата первинних та підтверджуючих документів, запізніле представлення операції — наслідком цього є фінансові втрати банкаеквайра (у разі видачі готівки) або торгової точки при проведенні рекламаційної роботи банками-емітентами, зловмисні дії підприємства торгівлі та сфери послуг, яке обслуговує клієнтів за картками у відповідності до укладеного договору еквайрингу, неправомірна видача готівки — унаслідок помилок або навмисних дій співробітників банку, вторгнення у комунікаційні системи під час проведення операції у термінальному обладнанні — збір інформації про держателя картки, картку та її реквізити, які дозволяють виготувати картку дублікат, інші різновидності шахрайських дій — застосування різноманітних пристроїв у терміналах для збору інформації з платіжної картки або її затримання.
Практично всі відомі методи шахрайства засновані на несанкціонованому списанні коштів з карткових рахунків. Тому, як правило, основні збитки несуть банки-емітенти. Банки, які обслуговують торговельно-сервісну мережу, несуть збитки тільки у випадку порушення формальних правил обслуговування платіжних карток, штрафів МПС, у разі маніпулювання банками-емітентами правилами платіжних систем та при обслуговуванні операцій по картках в мережі Інтернет.
Впровадження усіх необхідних заходів контролю, процедур моніторингу операцій та ризиків створить умови для ефективного та небезпечного ведення карткового бізнесу. Найпоширенішими методами контролю є технологічні, організаційні, аналітичні, робота з клієнтами та моніторинг трансакцій. Система внутрішнього контролю будь-якої організації є невід’ємною частиною її діяльності. Операції з платіжними картками, як і всі банківські операції, також повинні бути інтегровані в систему внутрішнього контролю банку.
Література
1. Аналіз банківської діяльності: Підручник; За ред. А. М. Герасимовича. — К.: КНЕУ, 2003. — 599 с.
2. В. А. Ющенко, А. С. Савченко, С. Л. Цокол, І. М. Новак. Платіжні системи, Національний банк України. — К.: Либідь. — 1998.
ронних документів (авторизаційних та кредитних лімітів за картковим рахунком, суми поповнення картрахунку), створення недійсних документів та помилки в бухгалтерському обліку тощо.
3. Энциклопедия финансового риск-менеджмента. — Под ред. Лобанова В. В., Чугунова А. В. 2-е изд., Библиотека PIOGLOBAL. — 2006. — 878 с.
4. Пластиковые карты: 5-е изд., перераб. и доп. — М.: Издательская група «БДЦ-пресс», 2005.
— 624 с.
Стаття надійшла до редакції 21 квітня 2006 р. УДК 657.421.3Ю. В. Писаренко, здобувач кафедри обліку підприємницької діяльності,
КНЕУ імені Вадима Гетьмана
