Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

день 1 терабайт данных). На подходе «четвертая волна» повышения эффективности электронных коммуникаций – возникновение среды систем, основанных на технологиях программных роботов (robotic process automation, RPA), возможно, с элементами AI.

С таким ростом сложности мира финансов становится затруднительно корректно классифицировать и лицензировать поставщиков финансовых сервисов, а для их контроля придется применять SupTech. Фактически вместо анализа отчетности регулятор в ближайшем будущем должен перейти на постоянный мониторинг участников финансового рынка с использованием технологий BI[322], предикативного анализа и предсказательной аналитики.

Исходными данными для подобной системы должны служить не отчеты о состоянии финансов организации «в моменте», а данные операционного учета транзакций (Smart Data, т. е. большие данные, очищенные от шумов, структурированные и валидированные), желательно описанных на языке XBRL[323].

Последнее важно, так как внедрение тегов XBRL, например в платежные сообщения, сформированные в соответствии со стандартом ISO 20022, позволит в автоматическом режиме контролировать ключевые показатели финансовых организаций и обеспечивать процедуры ПОД/ФТ. В некоторой степени моделью может служить European Reporting Framework (ERF)[324], но устранение дублирования и облегчение формирования отчетности не должны быть конечной целью предлагаемой системы.

В связи с этим одним из перспективных направлений развития проекта XBRL является работа по гармонизации понятийного аппарата, используемого при анализе Банком России как данных регуляторной отчетности, так и детальных данных и данных, поступающих из внешних источников.

Для дальнейшего использования формата XBRL на финансовом рынке доступны такие возможности, как использование продвинутой аналитики в целях моделирования поведения участников финансового рынка (во взаимосвязи с финансовым рынком, потребителями и между собой); применение pull-технологий сбора данных о поднадзорных организациях из различных источников («цифровые следы») на основе единой модели данных, открытой для рынка через XML-код (например, таксономия XBRL), возможно, в сотрудничестве с другими надзорными органами.

Отработав технологии сбора, обработки, анализа и защищенного хранения отчетности в формате XBRL, мегарегулятору необходимо сделать следующий шаг в совершенствовании регуляторной системы, перейдя на взаимодействие с поднадзорными организациями в режиме RegTech vs SupTech.

Уже сейчас банки тратят $80 млрд на управление рисками и комплаенс, и в соответствии с прогнозами Reuters к 2020 г. эта цифра должна возрасти до $120 млрд. К настоящему времени американские финансовые организации, в том числе находящиеся за пределами США, выплатили более $160 млрд штрафов за несоблюдение законодательства. Сфера финансовых услуг нуждается в более экономичных решениях для соблюдения законодательства без потерь в качестве. RegTech отлично вписывается в требования к автоматизации процессов, такие как:

– бесшовная автоматизация. Использование тегов XBRL в операционном учете позволяет полностью автоматизировать подготовку отчетности согласно действующим правилам и нормам и ее передачу регулятору. В более сложных случаях вполне возможно использовать технологии RPA;

– оперативное реагирование на изменения в регулировании. Нормативные акты могут быть переведены в алгоритмы, обеспечивающие донесение регуляторных требований до поднадзорных организаций через XML-код, пригодный для автоматического использования; таким образом, создаются предпосылки для перехода на настоящее машиночитаемое регулирование (Machine Readable Regulation);

– существенное сокращение комплаенс-рисков. Фактически регулирование может осуществляться в режиме M2M (см. ниже), сводя к минимуму риски как некорректной интерпретации нормативных актов поднадзорными организациями, так и их расширенного толкования регулятором.

Встречным процессом по отношению к RegTech является SupTech. Таким образом, можно говорить о двустороннем процессе: не только об автоматизации поставки данных поднадзорными организациями мегарегулятору, но и об автоматизации самих регуляторных воздействий. Последняя может быть обеспечена за счет использования Банком России технологий Machine Readable Regulation, причем вновь созданные нормативные акты можно будет предварительно проверить на модельных Smart Data, а уже затем предоставить для загрузки в учетные системы поднадзорных организаций.

Успешными примерами внедрения SupTech могут служить инициативы ФНС России по внедрению онлайн-фискализации и отслеживанию цепочек уплаты НДС (АСК НДС-2). Благодаря внедрению АСК НДС-2 возмещение НДС из бюджета высокорискованными компаниями сократилось примерно в восемь раз. Система позволяет в реальном времени отслеживать разрывы в уплате НДС по цепочке поставок. Все это привело к снижению числа фирм-однодневок в 2,5 раза с 2011 г. Для сравнения: в 2011 г. фирм-однодневок, которые зачастую используются для уклонения от налогов и обналичивания, насчитывалось 1,7–1,8 млн, в начале 2015 г. – уже только 1 млн, а в 2019 г. их доля снизилась до 4,7 % от общего числа зарегистрированных в России юрлиц. Всего в России насчитывается порядка 3,9 млн коммерческих компаний. Фактически следующим шагом ФНС России уже может стать стимулирование юридических и физических лиц к отказу от традиционной бухгалтерии в пользу облачных AccountTech-сервисов.

Регуляторам новые технологии могут позволить наконец перейти от предварительно установленных форм отчетности к сбору и анализу первичных данных поднадзорных организаций. Переход от системы, базирующейся на формах отчетности (формоцентричной, form-driven), к системе, основанной на данных (датацентричной, data-driven), может существенно упростить предоставление отчетности регуляторам и упорядочить процесс соблюдения регуляторных требований в целом.

Точка бифуркации для финансового рынка возникнет, когда RegTech и SupTech будут представлены взаимодействующими (и конкурирующими, как снаряд и броня) RPA, вместо регулярной отчетности в ИТ-системы поднадзорных организаций будут встроены резидентные модули, а арбитром в спорах будет выступать AI.

Пока же надеждой и утешением для сотрудников банков служит диалог из старого доброго фильма «Гараж»:

– В Индии обезьяны собирают кокосы. А мои макаки в сибирской тайге будут собирать кедровые шишки, лущить их, складывать в ящики, понимаете… Наклеивать ярлыки…

– Ну нет, наклеивать ярлыки – это мы обезьянам не отдадим!

Заключение

В заключение хотелось бы еще раз обратить внимание на то, что прогресс в области информационных и телекоммуникационных технологий и следующее за ним развитие технологий ДБО внесли принципиальные изменения в работу кредитных организаций. Это обусловлено изменениями в информационном контуре банковской деятельности и появлением в нем новых участников: провайдеров услуг и различных каналов связи, а также совершенно нового типа клиента, который уже не приходит в банк для того, чтобы осуществить банковские операции, но сам становится «операционистом».

Тем, кто сомневается, что технологии ДБО (включая системы ЭБ) будут активно использоваться в банковском бизнесе, авторы предлагают ответить на несколько вопросов:

1. Согласны ли вы, что IoE делает финансовые услуги всепроникающими и что отсутствие мобильности и интегрированности финансовых услуг с другими сервисами становится для банка непозволительной роскошью?

2. Согласны ли вы, что экономика совместного использования и арендная модель жизни в сочетании с тотальной симплификацией, коммодитизацией и игровизацией финансовых услуг требуют, чтобы банк мог принимать решения немедленно и предоставлять услуги здесь и сейчас?

3. Согласны ли вы, что концепция «открытого банка», строящего свою экосистему через открытый API, создает не только многочисленные возможности, но и угрозу проникновения мошенников в пределы защищенного периметра, особенно если где-то уже расположился «man in the middle»?

4. Согласны ли вы, что в условиях постоянно меняющегося, «текучего», мира строительство «цифровых крепостей» обречено на неудачу и необходимо реализовывать концепцию smart security вместо тотальной защиты?

5. Согласны ли вы, что для того чтобы банки