Весь мир ощущает влияние кризиса, вызванного эпидемией коронавируса. Пострадали многие сектора экономики, что привело к негативным экономическим последствиям. Экономика стран Центральной Азии на фоне пандемии в 2020 году сократится на 1,7%. Эксперты Всемирного банка констатируют, что регион Центральной Азии переживает экономический спад, которого не было с 1995 года.^[1] Согласно опросам национальных торговых палат и бизнес-ассоциаций, от 60% до 80% компаний в большинстве стран Центральной Азии серьезно пострадали вследствие кризиса, вызванного эпидемией коронавируса.^[2] Предприятия теряют доходы, закрываются магазины, нарушаются цепочки поставок.

Кризис подрывает уровень доходов и ликвидности физических и юридических лиц, включая микро, малые и средние предприятия (ММСП), равно как и их способность выполнять обязательства перед финансовыми (кредитными) организациями. При этом все понимают, что без финансирования бизнес еще долго не сможет выйти на докризисный уровень. Но как в таких условиях выстраивать взаимоотношения с клиентами, что и как оценивать и как принимать решения о кредитовании и/или изменении графиков платежей (выплаты) по текущим кредитам, чтобы позволить клиентам пережить кризис и погасить свои займы приемлемым для финансовых учреждений способом? В этой статьей мы дадим рекомендации, на что обращать внимание при проведении анализа бизнеса в условиях кризиса.

В целом, оценка бизнеса направлена на выявление потенциальных тенденций и отрицательных последствий для развития бизнеса. При этом качественная оценка финансового состояния любого бизнеса приобретает все большую актуальность в период кризиса, то есть в нестабильной среде. Нам стоит «держать руку на пульсе» по тем предприятиям, которые уже получили кредит и сейчас должны обслуживать свой долг, а также уметь анализировать бизнес новых клиентов и оценивать их потенциал для финансирования, чтобы поддержать их и экономику в целом при выходе из кризиса.

В настоящее время многие предприятия и предприниматели находятся в сложных финансовых условиях (это может быть временная неплатежеспособность и даже банкротство), и задача аналитика - определить, как лучше в нынешней ситуации поддержать клиента. Это может означать изменение условий текущего (непогашенного) кредита или даже предоставление дополнительного финансирования.

В период кризиса анализ бизнеса предполагает оценку объективной картины финансового состояния бизнеса, планов и перспектив его развития, включая возможность его адаптации к текущей и ожидаемой экономической ситуации и тенденциям.

Для принятия решений о сотрудничестве с потенциальным клиентом и/или о поддержке текущих клиентов финансовые организации используют комплексный подход к анализу (в т.ч. анализ рыночных данных и макроэкономических показателей, анализ официальной и управленческой отчетности, а также обзор и перспективы бизнеса). Очень важно не только посмотреть на цифры, но и разобраться в бизнес-процессах, понять, как бизнес (собственники, руководство) реагировал и продолжает реагировать на кризис.

Возможно, у магазинов падает выручка, на производстве - объемы продаваемой продукции, или из-за карантинных мероприятий производство вовсе может быть остановлено. В целом у бизнеса снижается деловая активность, которая приносит ему прибыль. В то же время большая часть расходов остается на прежнем уровне, а финансовое равновесие в бизнесе нарушается, что характеризуется снижением финансовой устойчивости бизнеса.

В условиях кризиса некоторые люди поддаются панике и делают иррациональный выбор, некоторые «застывают в отрицании», отказываясь признать, что что-то изменилось, и продолжают жить и работать так, будто ничего не изменилось, полагая, что все уладится само собой. Другие анализируют ситуацию и смотрят на свой бизнес и обстоятельства, как на шанс для выживания, и думают, какие действия необходимо предпринять, чтобы извлечь максимальную пользу в условиях меняющейся среды. Например, они стремятся сократить расходы, найти новые источники ликвидности и дохода (например, переключиться на другое, более надежное направление бизнеса и, возможно, даже уже имеют план действий в чрезвычайных ситуациях).

Ниже перечислены негативные последствия для бизнеса, которые аналитик может увидеть при проведении анализа:

• снижение выручки;
• уменьшение маржи отдельных бизнес-единиц (точек, подразделений);
• уменьшение прибыли (или вовсе убытки);
• снижение ликвидности (или ее отсутствие);
• задержки c поставками и/или изменение цепочек поставок;
• нарушение цепочек поставок;
• разрыв отношений с поставщиками;
• увеличение кредиторской задолженности (перед поставщиками и кредиторами). Что страшно - в такие периоды могут появиться частные долги;
• увеличение дебиторской задолженности (клиенты перестают своевременно рассчитываться);
• сокращение оборотного капитала;
• нехватка финансирования;
• потеря клиентов;
• отмена (срыв) контрактов;

и др.

Этот список не является исчерпывающим. Такие негативные последствия могут привести даже к закрытию бизнеса. Однако давайте посмотрим на проблему с другой стороны. В кризис особенно, бизнес должен проявлять гибкость, попытаться адаптироваться к условиям, уметь выбрать правильную стратегию, которая поможет фирме преодолеть проблемы кризиса. Например, это может быть:

• сокращение инвестиционных проектов;
• закрытие убыточных производств/точек продаж;
• продажа непрофильных активов;
• оптимизация расходов (особенно, это касается постоянных расходов, таких как арендные платежи, заработная плата, а также реклама, транспорт и многое другое);
• пересмотр ассортимента товара;
• выход на новые рынки;
• переход в режим онлайн;
• изменение схем работы с поставщиками и покупателями (снижение сумм оплат, бартер, др.);
• использование всех доступных государственных мер помощи и налоговых возможностей для оптимизации своих расходов;

и прочее.

Вышеперечисленные кризисные явления и меры их преодоления служат подсказкой для финансовых организаций, на что нужно обращать внимание при анализе и оценке риска. Однако важно учитывать не столько сами проблемы, сколько их глубину, тактические и стратегические мероприятия бизнеса (собственников) по выходу из сложившейся ситуации.

Для того чтобы найти путь выхода из кризиса, собственники и их команда (зависит от размеров бизнеса) изучают возможности, анализируют собственный бизнес, рынок и тенденции в экономике в целом, и действуют. Наша же задача, как аналитиков, - увидеть такие мероприятия, которые ориентированы на преодоление кризисного влияния, оценить и сделать выводы. Если бизнес в условиях кризиса «в панике» и ничего не предпринимает, тогда мы должны четко понимать, что финансирование такого бизнеса сопряжено с высоким риском. Если бизнес активно и продуманно реагирует на сложившиеся обстоятельства, ищет варианты, чтобы адаптироваться к ним и имеет реальную перспективу, то финансирование такого бизнеса сопряжено с меньшими рисками. Поэтому при проведении анализа, первое, на что следует обратить внимание, помимо текущих финансовых показателей, – это на то, как реагируют и как оценивают ситуацию и выход из нее сами собственники (в т.ч. менеджмент), и как это повлияет на производительность и финансовые показатели бизнеса. Бизнес все еще может быть прибыльным и иметь возможность получить кредит, но действия/бездействие собственников (менеджмента) могут привести к тому, что через несколько недель или месяцев бизнес не сможет платить. Поэтому важно изучить, насколько действенный и рациональный план есть у бизнеса (собственников/руководства), и ориентирован ли он на рост и развитие бизнеса даже в сложный период. 

Какие периоды деятельности рассматривать и что финансовым (кредитным) организациям анализировать?

Анализ прошлых периодов. Какой в этом смысл? Смысл проанализировать развитие бизнеса за предшествующий кризису период заключается в том, чтобы понять, насколько сильно изменилась ситуация, и оценить действия собственников. Если у бизнеса резко сократились выручка, прибыль, появились кассовые разрывы и/или другие негативные тенденции из-за текущей ситуации, высока вероятность того, что владельцы пока еще не предпринимали никаких мер или предприняли недостаточные действия. В этом случае финансирование/работа с таким бизнесом для финансовой организации будет высоко рисковой, так как вполне вероятно, что собственник (менеджмент) будет продолжать выжидать и надеяться, что ситуация разрешится сама собой.

Если вы анализируете бизнес, который уже переживал экономические кризисы, посмотрите, как они выходили из ситуации в прошлом. Для этого не обязательно углубляться в бухгалтерию, а достаточно поговорить с собственниками (менеджментом) и узнать, было ли сокращение, оптимизация бизнеса или нет, как выходили из ситуации тогда, и сопоставить с текущими обстоятельствами.

Анализ текущей ситуации. Ответьте на вопросы:

• Может ли бизнес справляться с текущей долговой нагрузкой? Как долго сможет? Откуда для этого берутся ресурсы? Для чего необходимо финансирование?
• Насколько клиент зависит от заемных средств сейчас?
• Сможет ли рассчитаться с дополнительным финансированием, ориентируясь на текущее положение дел.

Если финансирование необходимо только для того, чтобы удержаться на плаву, и вы видите, что бизнес «застыл и выжидает», и/или предвидится, что последует негативная тенденция, то это несет высокие риски. Всегда смотрите, чтобы дополнительное финансирование еще больше не усугубило положение, в котором оказался бизнес.

Анализ перспектив бизнеса в условиях неопределенности ориентирован на текущую ситуацию и на планы клиента по выходу из кризиса. Анализ подразумевает оценку планов клиента на фоне общих экономических тенденций на рынке клиента и в экономике, а также оценку соответствия этих планов данным тенденциям (в том числе, степени вероятности ожидаемых оборотов, доходов и расходов). Если вы анализируете и видите, что клиент перенастроил свои бизнес-процессы, отказался от неэффективных проектов, сделал акцент на продукты, которые актуальны и востребованы в текущих условиях, и видит перспективу на будущее (по крайней мере, на какое-то время), умело управляет своими должниками (по крайней мере, ведет работу с ними), пытается сохранить ликвидность и собственный оборотный капитал, то работа с этим клиентом будет нести меньший риск.

Таким образом, при проведении анализа в условиях кризиса становится важным оценить тактические и краткосрочные действия, а также стратегию бизнеса (собственников) по удержанию ситуации под контролем и выходу из кризиса. Также обязательным остается анализ основных финансовых показателей (текущих и ожидаемых), которые мы используем для оценки деятельности и в обычных условиях, таких как:

• балансовые показатели, такие как собственный капитал, дебиторская и кредиторская задолженности, структура оборотного капитала;
• динамика структуры выручки, рентабельность и прибыль;
• ликвидность бизнеса и запас прочности.

Проанализируйте отчетность фирмы и соберите данные управленческого учета.

Посмотрите, за счет каких средств финансируется предприятие (это собственный капитал, долгосрочные или краткосрочные заемные средства). Изучение структуры пассива баланса позволит увидеть возможные причины финансовой неустойчивости бизнеса. Это может быть высокая доля заемных средств (более половины), что может означать высокую зависимость бизнеса от кредиторов.

Обратите внимание на темпы прироста дебиторской и кредиторской задолженности, а также на их соотношение. Темпы прироста должны быть примерно одинаковыми.

Изучите отчетность на наличие убытков в анализируемом периоде. Вы можете увидеть изменение наценки, кредиты и займы, не погашенные в срок, просроченную дебиторскую и кредиторскую задолженность.

Оцените уровень ликвидности и прибыльности бизнеса в краткосрочной и среднесрочной перспективе. В условиях кризиса достаточно сложно проводить среднесрочное планирование движения денежных средств и оценивать уровень прибыли. Тем не менее, вы можете спрогнозировать движение денежных средств и прибыли на ближайшие месяцы, а также построить прогнозные сценарии, позитивные и негативные (на случаи стабилизации и/или ухудшения ситуации). В любом случае работа с клиентами в условиях кризиса и неопределенности требует от кредитных специалистов финансовых учреждений регулярного проведения мониторинга (как правило, чаще, чем в условиях стабильности). Мониторинг необходим для проверки и оценки верности прогноза движения денежных средств и прибыльности. Это дает возможность своевременно реагировать на изменение ситуации, и в случае необходимости, корректировать финансовые прогнозы и, при необходимости, планы выплат и другие условий кредитования.

Выводы и оценку в текущих условиях кредитным организациям стоит скорректировать с поправкой на кризис. Если вы видите, что бизнес гибок и готов не только маневрировать финансовыми ресурсами, но и умело адаптирует (меняет) бизнес-процессы, схемы, оптимизирует деятельность, тем самым обеспечивая финансовую устойчивость своему бизнесу, то в этом случае можно анализировать, оценивать данные и принимать взвешенные решения, с приемлемым риском для финансовой организации. При проведении анализа вы можете не увидеть супер-прибыли, но вы можете оценить масштаб изменений и мероприятия, которые предпринимаются бизнесом для выхода из кризиса и периода неопределенности, а также оценить перспективы этого бизнеса на будущее. И это основа для определения лучших способов поддержки клиентов в кризисных и посткризисных условиях.

^[1]Экономический обзор по Европе и Центральной Азии: «COVID-19 и человеческий капитал», опубликованный Всемирным банком, доступный по ссылке https://openknowledge.worldbank.org/bitstream/handle/10986/34518/9781464816437.pdf.
Эксперты  Всемирного Банка считают, что в 2021 году, при условии оживления внешнего спроса, в том числе на сырьевые товары, роста цен на сырье и увеличения притока прямых иностранных инвестиций, экономический рост в Центральной Азии может восстановиться. Его темпы могут достичь при оптимистическом прогнозе 3,1 %, а при пессимистическом – 1,5 %.

^[2]OECD Policy Responses to Coronavirus (COVID-19).COVID-19 crisis response in Central Asia, Updated 16 November 2020,  https://www.oecd.org/coronavirus/policy-responses/covid-19-crisis-response-in-central-asia-5305f172/

Изображения: Freepik

Традиционные (связанные с доходностью) проблемы финансовых учреждений при обслуживаниималых и средних предприятий

Малые и средние предприятия (МСП) составляют основу экономики большинства стран. На их долю приходится около 90% всех предприятий в мире и, как правило, большинство создаваемых в стране рабочих мест. Хотя размер и потенциал глобального рынка банковских услуг для МСП огромен, доступ к финансовым услугам, отвечающим запросам МСП, по-прежнему остается для них серьезной проблемой во всех регионах, включая Центральную Азию. Сохраняется так называемый «разрыв в финансировании МСП», при котором предложение отстает от спроса, который по оценке Всемирного банка составляет 8,1 триллиона долларов США.¹

Многие финансовые учреждения все еще считают для себя затруднительным эффективно и прибыльно обслуживать сегмент МСП. Хотя на то есть несколько причин, в первую очередь, дефицит финансирования МСП связан с тремя взаимосвязанными расходами, с которыми сталкиваются финансовые учреждения и которые представляют проблему, присущую работе с МСП:

Информационные издержки. МСП очень разнородны, имеют разные степени формализации и, как правило, менее прозрачны, чем более крупные компании, из-за отсутствия надежной и доступной финансовой информации. Это приводит к значительной информационной асимметрии для финансовых учреждений, которые не всегда могут полагаться на официальную финансовую отчетность, отчеты о кредитных историях и другую документацию. Все это существенно увеличивает стоимость оценки кредитного риска. В результате, многие финансовые учреждения в значительной степени полагаются на залоговое обеспечение, что становится препятствием к получению кредита для многих, в особенности небольших, МСП. Это является проблемой и для стран Центральной Азии, где размер залога, необходимого для получения кредита МСП, варьируется, начиная со 170% от суммы кредита в Таджикистане до 227% в Монголии.²

Транзакционные издержки. Помимо информационной асимметрии, существует проблема относительных транзакционных издержек при обслуживании МСП, которые могут быть выше, чем издержки, связанные с обслуживанием более крупных или корпоративных клиентов. Это может объясняться относительно фиксированными затратами/накладными расходами на одну транзакцию при большом количестве мелких сделок, а также такими факторами, как расстояние (к примеру, МСП потенциально находятся дальше от филиалов), более высоким процентом отказов по кредитам МСП из-за более высокого кредитного риска и т.д.

Альтернативные издержки. Даже если финансовые учреждения выявят потенциал доходности при адекватном подходе к кредитованию МСП, в абсолютном выражении фактическая рентабельность обслуживания МСП может быть гораздо менее привлекательной в сравнении с более крупными корпоративными или розничными клиентами или в некоторых ситуациях – в сравнении с предприятиями госсектора. В условиях ограниченного капитала или человеческих ресурсов финансовые учреждения могут счесть альтернативные издержки от перенаправления усилий на работу с МСП слишком высокими. Проще говоря, почти на всех рынках кредитование МСП редко становится «лакомым кусочком» для финансовых организаций.

С учетом уникальности проблем прибыльного обслуживания МСП, наиболее успешные поставщики финансовых услуг для МСП инвестировали силы и средства в разработку целевого подхода, при котором финансирование МСП было выделено в отдельный сегмент, или центр прибыли, с персоналом, продуктами и процедурами, ориентированными на МСП. Такой подход обычно требует значительных инвестиций и усилий. В результате любая стратегия, подход или технология, которые с успехом могут (без особых на то затрат) снизить указанные выше издержки или риски при кредитовании МСП, могут сыграть положительную роль в содействии финансированию МСП и позволить финансовым учреждениям работать с сегментом малого и среднего бизнеса более прибыльно.

Цель этого документа - показать, как подход, ориентированный на производственно-сбытовые цепочки (ПСЦ), может помочь финансовым учреждениям расширить охват финансирования МСП и повысить рентабельность. Этот подход подразумевает, что финансовое учреждение имеет понимание ПСЦ и то, какое положение в этих цепочках занимают МСП по отношению к зачастую более крупным якорным предприятиям.

Ни одно предприятие не существует в изоляции от других: что такое ПСЦ?

Но сначала поговорим о том, что представляет собой ПСЦ.

ПСЦ может быть определена как совокупность всех видов деятельности и участников, необходимых для создания, производства и доставки продукта или услуги. Согласно трактовке Международной организации труда (МОТ), любой продукт или услуга – это часть ПСЦ, будь то глобальная (транснациональная) или локальная (внутренняя) цепочка.³

Термин ПСЦ часто используется взаимозаменяемо с термином цепочка поставок, который исторически был больше связан с операционными аспектами бизнеса: закупками, производством и логистикой. Термин ПСЦ был впервые введен известным автором книг по экономике, гарвардским профессором Майклом Портером в 1985 году, и под этим термином больше подразумевается последовательность видов деятельности, которые поступательно повышают стоимость продукта или услуги на каждом следующем этапе, в итоге превращая их в конечный товар или услугу. Хотя традиционно анализ ПСЦ нацелен на стоимость, которую каждый отдельный бизнес (или бизнес-подразделение) добавляет к товару, сегодня концепция ПСЦ широко используется для рассмотрения целых производственных секторов (например, производство кофе или обуви).

Термин ПСЦ часто используется в сельскохозяйственном контексте, хотя не только. В таких цепочках выделяются процессы, участники и добавленная стоимость, которая создается в процессе поставки сельскохозяйственной продукции от фермера к конечному потребителю. Однако этот же термин применим и к другим контекстам и отраслям, в частности, к отраслям по переработке и изготовлению продукции, в которых участвует множество субъектов и разных видов деятельности на разных уровнях (например, в самолетостроении или производстве мобильных телефонов), или в менее технологичных отраслях (как, например, производство продуктов питания или небольших изделий).

Рис. 1: Пример производственно-сбытовой цепочки в контексте переработки урожая

Независимо от используемой терминологии, все финансовые учреждения, несомненно, понимают, что большинство их бизнес-клиентов, включая МСП, являются частью бизнес-цепочек с начальным звеном (поставщики) и конечным звеном (покупатели/ потребители), и что успех их бизнес-клиентов (равно как и кредитный риск самого финансового учреждения) в значительной мере зависит от всех участников цепочки. Перспективный взгляд на всю ПСЦ в целом полезен для лучшего понимания отношений между ее участниками, а также последовательности всех видов деятельности в цепочке.

ПСЦ могут быть национальными (внутренними) или транснациональными/ глобальными, то есть охватывающими несколько стран. В странах Центральной Азии большинство МСП сосредоточены на внутреннем рынке, поэтому в этом документе мы будем говорить о внутренних ПСЦ.

Финансирование на основе ПСЦ

Ключевой особенностью нескольких ПСЦ является наличие крупного, так называемого якорного бизнеса, или якорного предприятия. Такой бизнес, как правило, представляет собой довольно крупную корпорацию, которая потенциально может быть аффилирована с транснациональной корпорацией. Такой бизнес имеет довольно рассредоточенные звенья вверху цепочки в виде нескольких не связанных друг с другом поставщиков (например, несколько МСП-поставщиков), или рассредоточенные последующие звенья внизу цепочки в виде различных розничных торговцев МСП или оптовиков на выходе. В зависимости от положения якорного бизнеса в цепочке (ближе к началу или к концу), такие цепочки часто различают, как цепочки, ориентированные на покупателя, или цепочки, ориентированные на производителя.

Хотя анализ, как правило, в значительной мере фокусируется на товарах, производимых цепочкой, полезно взглянуть на ПСЦ, как на последовательность связей между игроками (особенно, вокруг якорного предприятия), через которые они осуществляют регулярный и предсказуемый обмен:

• товарами и услугами – сверху вниз, вплоть до конечного потребителя;
• финансами и фондами – снизу вверх, к производителям и поставщикам;
• информацией – двусторонний обмен, который не всегда фиксируется или консолидируется.

Очень немногие ПСЦ характеризуются мгновенными расчетами по сделкам, и поэтому кредит является естественной и важной составляющей почти всех ПСЦ. Участники ПСЦ, особенно якорные предприятия, часто предоставляют другим участниками кредиты в какой-либо форме, в некоторых случаях даже долгосрочные кредиты, которые иногда могут предоставляться или погашаться в натуральной форме.

В таблице 1 представлена информация о доле компаний, использующих банковские кредиты и кредиты поставщиков/клиентов для финансирования оборотного капитала в четырех странах Центральной Азии. Во всех четырех странах эти показатели ниже среднемирового уровня.

Таблица 1: Ключевые показатели стран Центральной Азии

Источник: Обзор деятельности предприятий “Enterprise Surveys”, подготовленный Всемирным банком⁴

Наличие взаимных товарно-денежных и информационных потоков между участниками создает возможность для финансовых учреждений финансировать такие ПСЦ.

Вобравшие в себя лучшую практику подходы финансовых учреждений к кредитному анализу ММСП и андеррайтингу фокусируются на отдельном предприятии МСП с целью определить его способность и готовность к погашению кредита. При таком подходе каждое предприятие МСП рассматривается, как правило, как самостоятельная организация. При этом исчерпывающий анализ субъектов ПСЦ, стоящих выше и ниже данного МСП по цепочке, обычно проводится только в том случае, если МСП сильно зависит от какого-то конкретного поставщика/покупателя или контракта, т. е. если потенциально имеется высокий риск концентрации.

В отличие от такого подхода, финансирование на основе ПСЦ (ФПСЦ), является более целостным подходом. Он направлен на то, чтобы понять общую структуру и характер ПСЦ, выявить элементы цепочки с неоптимальным финансированием, в частности, где имеется дефицит ликвидности, а затем определить возможности для предоставления предприятиям внутри цепочки выгодных финансовых продуктов и услуг.

Эффективные подходы к ФПСЦ обычно направлены на достаточно тесно интегрированные и стабильные ПСЦ, которые, как правило, строятся вокруг одного или нескольких якорные предприятий, зачастую уже являющихся клиентами финансового учреждения. Финансовое учреждение стремится использовать якорное положение таких предприятий для снижения риска и предоставления финансовых услуг поставщикам или покупателям.

Якорные предприятия часто сами предоставляют финансирование участникам ПСЦ как средство, обеспечивающее стабильность и своевременность поставок, повышающее лояльность и стимулирующее продажи. Идея передать финансирование на «аутсорсинг» специализированному финансовому учреждению может быть привлекательной для таких якорных предприятий по разным причинам, в том числе по таким, как высвобождение оборотного капитала и повышение ликвидности, сокращение административных и транзакционных издержек, снижение рисков для баланса, упрощение сбора платежей, получение комиссионного дохода и т.д.

Кроме того, хотя часто ПСЦ изображаются линейно, имеет смысл рассмотреть более широкую сеть, то есть всю экосистему, участников, которые косвенно связаны с основной цепочкой, включая поставщиков оборудования, поставщиков логистических услуг, информационные службы, сотрудников, регулирующие органы и прочее. Сосредоточив внимание на экосистеме в целом, финансовые учреждения могут использовать существующих клиентов и их расширенные сети для более эффективного охвата новых клиентов и перекрестных продаж продуктов (например, платежей, зарплатных проектов, аккредитивов и т.д.).

Ценность сотрудничества: партнерство с участниками ПСЦ

Как правило, в рамках ФПСЦ создается некая форма стратегического партнерства между финансовым учреждением и одним или несколькими участниками цепочки – как правило, якорными предприятиями - для сокращения транзакционных издержек и снижения рисков, которые в противном случае затруднили бы доступ к получению традиционных финансовых услуг.

Через такое партнерство якорное предприятие может предложить финансовым учреждениям следующее:

• Информацию. Якорное предприятие может предоставлять важную информацию об МСП и о других участниках, стоящих выше или ниже по ПСЦ, включая рекомендации или взаимное представление, скрининг заемщиков, данные о транзакциях, данные по конкретным секторам, верификацию договоров и сопутствующей документации (например, закупочные ведомости или счета-фактуры), информацию о потребностях в кредитах и т. д. Такая информация может помочь финансовым учреждениям выявлять и оценивать потенциальных клиентов, позволяя им отдавать часть функций кредитной оценки «на аутсорсинг».
• Посредничество в проведении сделок. Якорное предприятие может быть посредником при проведении финансовых транзакций: например, путем прямой поддержки при выдаче кредитов, либо совместного подписания, или создания схем обратного факторинга и т. д.
• Гарантии. Якорное предприятие может предоставлять гарантии или участвовать в других механизмах разделения рисков (например, совместное подписание, схемы обратного выкупа) для снижения кредитного риска и косвенного содействия финансовым учреждениям в проведении сделок с МСП.

С точки зрения якорного предприятия, официальное или неформальное партнерство с финансовым учреждением может облегчить либо закупки, либо продажи/сбыт.⁵ Для финансового учреждения такое сотрудничество позволяет уменьшить информационную асимметрию и транзакционные издержки, а также расширить спектр услуг. Конкретный характер и глубина партнерства с одним или несколькими якорными предприятиями должны определяться в каждом конкретном случае финансовым учреждением на основе анализа ПСЦ и переговоров с якорным предприятием.

Потенциальные риски ФПСЦ

ФПСЦ несет в себе определенные потенциальные риски и проблемы для финансовых учреждений, которые также необходимо учитывать. Наиболее очевидная проблема-это риск концентрации, возникающий в результате наличия значительного объема задолженностей у субъектов одной ПСЦ или у ее якорного предприятия.

Поскольку несколько МСП, профинансированные на основе подхода ФПСЦ, могут быть частью одной и той же ПСЦ, серьезную проблему может представлять ковариативный (совместный) риск при наличии негативных внешних или иных факторов, одновременно влияющих сразу на несколько предприятий.

Еще одну проблему представляет системный риск, поскольку материализация специфического (несистемного) риска у одного из участников ПСЦ (особенно, у якорного предприятия) может вызвать эффект домино, затронув предприятия как сверху, так и снизу по цепочке. В результате могут пострадать связанные предприятия, вновь порождая ковариативный риск, особенно в цепочках с высокой взаимозависимостью между участниками.

В итоге подчеркнем, что очень важно проводить тщательный анализ ПСЦ для глубокого понимания связей между предприятиями цепочки.

Финансовые учреждения должны также тщательно рассматривать и устанавливать лимиты концентрации или задолженности для ПСЦ и секторов, чтобы снизить такие риски, а также со временем обеспечить надежные системы мониторинга и контроля над рисками.

Внедрение подхода: развитие ФПСЦ в финансовом учреждении

Итак, что может сделать финансовое учреждение для эффективного внедрения подхода ФПСЦ?

Для успешного применения методик ФПСЦ требуется четкое понимание природы ПСЦ и присущих им общих рисков, а также умение выявлять и оценивать подходящий якорный бизнес, с которым можно сотрудничать. Такой подход является отступлением от методики, при которой кредитные риски оцениваются отдельно по каждому заемщику МСП, что обычно приводит к более высоким первоначальным затратам для финансовых учреждений. Однако, если все сделано правильно, при использовании ФПСЦ есть потенциал для распределения издержек на большее число клиентов, при котором экономия достигается за счет увеличения масштаба путем сокращения издержек на отдельные транзакции.

Ниже приведены примерные шаги, с которых финансовые учреждения могут начать работать в этом направлении:

(1) Определить потенциальные якорные предприятия и их ПСЦ. Если исходить из того, что финансовое учреждение уже занимается кредитованием корпоративных клиентов и/или МСП, стоит начать с определения ПСЦ, в которых участвуют существующие клиенты финансового учреждения, особенно, если это потенциальные якорные предприятия. В качестве первого шага можно выделить более крупных или важных корпоративных клиентов, с учетом глубины, продолжительности и характера деловых отношений между финансовым учреждением и потенциальным якорным предприятием.

На основе этого первоначального анализа может быть составлен список потенциальных ПСЦ и якорных предприятий. Следует провести тщательный комплексный анализ потенциального якорного предприятия (или обновить предыдущий анализ) с целью понять не только само предприятие, но и всю ПСЦ, в которой оно участвует. Поскольку подходы на основе ФПСЦ обычно включают формальное или неформальное партнерство с якорным предприятием, уже на этом этапе следует проанализировать репутационные риски, которые могут вытекать из партнерства с данным якорным предприятием, а также потенциальную готовность или заинтересованность предприятия в сотрудничестве.

Преимущество использования существующих клиентов/секторов в качестве отправной точки заключается в том, что финансовое учреждение или его сотрудники уже могут обладать определенными знаниями и/или опытом работы в соответствующем секторе.

(2) Составить карту целевых ПСЦ. Наличие сильного потенциального якорного бизнеса не обязательно указывает на идеальную целевую ПСЦ. Финансовые учреждения должны преимущественно сосредоточиться на цепочках с высокой степенью интеграции и с более высоким уровнем ликвидности. При прочих равных условиях, чем теснее связи в ПСЦ, тем стабильнее взаимные потоки товаров, услуг, ликвидности и информации между участниками, и тем ниже риск дефолта конкретного бизнеса в цепочке.

Таким образом, финансовые учреждения должны «составить схему» ПСЦ, выделив якорное предприятие и других участников, связи между ними (их сильные стороны) и потенциально слабые места. На этом этапе финансовое учреждение должно постараться убедиться в том, что определенный на первом этапе потенциальный якорный бизнес действительно является в цепочке ведущей компанией, демонстрирующей сильные переговорные способности с поставщиками и покупателями МСП.

Также следует учитывать количественные и качественные показатели ПСЦ, в том числе: динамику развития за последнее время и структурные изменения в секторе/отрасли, стабильность производства, волатильность цен, зависимость от внутренних/внешних рынков, стабильность финансовых потоков, вопросы политики/риски, формализация отношений, способность к переговорам и т. д.

Кейс 1: ПСЦ в молочном производстве в Кыргызской Республике⁶

Исходя из этого, финансовое учреждение должно обрести четкое понимание, как каждый участник цепочки увеличивает стоимость, а также каковы текущие финансовые потребности и особенности ведения бизнеса участников.

(3) Определить возможности для бизнеса. На базе схемы и информации о ПСЦ и, возможно, в сотрудничестве с якорным предприятием, финансовое учреждение может определить потенциальные точки входа и коммерческие возможности в рамках данной ПСЦ.

Такие возможности могут крыться в текущих потребностях в ликвидных средствах или в разрывах ликвидности, но также и в более долгосрочном финансировании активов. Кроме того, финансовые учреждения могут попытаться выявить возможности для перекрестных продаж или для предложения пакета продуктов участникам ПСЦ.

Типичные инструменты ФПСЦ включают:

• Краткосрочные и среднесрочные кредиты (например, кредитные линии);
• Лизинг оборудования;
• Среднесрочный и долгосрочный кредит (например, на финансирование закупок оборудования);
• Обслуживание текущих счетов и расчетно-кассовые операции (например, зарплатные счета, пос-терминалы);
• Финансирование под дебиторскую задолженность (например, факторинг, дисконтирование векселей, форфейтинг, обратный факторинг);
• Финансирование под залоговое обеспечение (например, финансирование по договорам РЕПО, финансирование под складские свидетельства, финансирование под залог ТМЗ);
• Аккредитивы и гарантийные письма;
• Страхование;
• Производные финансовые инструменты (фьючерсы, форвардные контракты, опционы, свопы).

На этом этапе также может быть определен формат сотрудничества с якорным предприятием. Какую услугу будет предоставлять (если это оговорено) якорное предприятие (например, предоставление данных, гарантий, рекомендаций) и что оно получит взамен (например, комиссионные, скидки, брендинг и т. д.)?

(4) Утвердить целевые показатели и лимиты концентрации. Финансовое учреждение должно установить параметры риска (лимиты по портфелю), а также определить подход к мониторингу риска, чтобы гарантировать соблюдение этих лимитов на уровне портфеля. В то же время должны быть установлены целевые показатели, чтобы побудить сотрудников финансовых учреждений к достижению эффекта масштаба и использованию возможностей ПСЦ.

(5) Внедрить и постепенно адаптировать подход. Хотя финансовое учреждение может пожелать опробовать подход в рамках одной или небольшого количества ПСЦ, в идеале, стоит рассматривать большее число цепочек (и якорных предприятий) с целью диверсификации и установления лимита финансирования на один сектор или на одну ПСЦ. Также следует рассмотреть дополнительные пути максимально широкого по возможности охвата всей экосистемы вокруг ПСЦ.

ФПСЦ в эпоху цифровых технологий⁷

Хотя подходы и концепции ФПСЦ едва ли новы, появление новых цифровых инструментов и технологий, в том числе приведших в последние годы к гигантскому прорыву в сфере доступа к информации и обработки данных, создало для инновационных финансовых институтов новые возможности для изучения схем ФПСЦ. Потенциальная ценность таких цифровых подходов к ФПСЦ возросла в связи с ускорением перехода на цифровые технологии во всем мире по причине глобальной пандемии COVID-19.

Переход на цифровые технологии в цепочках поставок способствует более высокой прозрачности и доступности данных.

Более широкое использование цифровых инструментов и коммуникационных каналов в ПСЦ повысило прозрачность и доступность данных о физических и финансовых транзакциях. Те операции, которые до сих пор выполнялось физически (документы на бумажных носителях, оплата наличными, личное присутствие), все чаще на каждом этапе фиксируются или контролируются в цифровом формате: подписание контракта, заказ, отслеживание товаров, доставка, продажа, платежи и т.д. В результате данные о частоте покупок и продаж, о взаимодействии с поставщиками и клиентами, об оборачиваемости запасов стали более доступными, что позволяет финансовым учреждениям все чаще применять индивидуальный и автоматизированный подход к оценке кредитного риска и принятию решений. Такая доступность данных может облегчить для якорных предприятий задачу предоставления подробной информации или поможет дополнить данные, предоставляемые якорным предприятием.

Трансформационное влияние платформ

Более широкое применение разнообразных цифровых платформ создало дополнительные возможности для развития подходов на основе ФПСЦ. В прошлом такие подходы применялись лишь фрагментарно и в небольших объемах. Поскольку сегодня все больше транзакций проводится через цифровые платформы, которые дополнительно отслеживают и консолидируют информацию, финансовые учреждения могут, в частности, рассматривать такие платформы как партнеров, которые могут помочь выявлять участников ПСЦ и получать информацию, необходимую для предоставления финансирования ее участникам. Партнерство с цифровыми платформами поможет финансовым учреждениям получать подробные данные о транзакциях и другую нужную информацию, в некоторых случаях даже в режиме реального времени. В качестве примера можно привести платформы электронной коммерции, такие как Alibaba или Amazon, национальные центры электронного выставления счетов, платформы, предоставляемые финтех-компаниями и т. д.

Возможности для занятия лидирующего положения на многих рынках все еще сохраняются

ФПСЦ на основе цифровых транзакций уже начинает преобладать во многих странах мира, но все еще остается много возможностей для его продвижения, особенно, на развивающихся рынках, таких как страны Центральной Азии, а также в отношении сильно фрагментированных ПСЦ (в которых, например, много мелких производителей и покупателей, меньше повторных сделок). Благодаря более высокой доступности данных финансовые учреждения могут сократить свои информационные и транзакционные издержки и более эффективно предоставлять финансирование, дополнительно стимулируя участников ПСЦ к переходу на цифровые технологии и к цифровой интеграции.

Цифровая революция не только открывает новые возможности для финансовых учреждений, но и бросает новые вызовы. Потенциальные партнеры (например, финтех-компании, платформы) могут стать и конкурентами в предоставлении ФПСЦ, поскольку благодаря технологиям снизились барьеры для выхода на рынок, такие как, например, информационные затраты и транзакционные издержки.

^[1] Дефицит финансирования ММСП: Оценка недостатков и возможностей для финансирования микро, малых и средних предприятий на развивающихся рынках. Доклад Международной финансовой корпорации (МФК), 2017 г.
MSME Finance Gap: Assessment of the Shortfalls and Opportunities in Financing Micro, Small and Medium Enterprises in Emerging Markets. International Finance Corporation (IFC), 2017. (https://openknowledge.worldbank.org/handle/10986/28881)

^[2] Данные из доклада ОЭСР за 2017 г. «Повышение конкурентоспособности в странах Центральной Азии» (стр. 47)
As quoted in OECD 2017 “Enhancing Competitiveness in Central Asia” (p 47). (https://www.oecd-ilibrary.org/docserver/9789264288133-5-en.pdf?expires=1607683633&id=id&accname=guest&checksum=6128AC11281F3DAC0F5F5747CE96872F)

^[3] Общее руководство по развитию производственно-сбытовых цепочек: Как создавать рабочие места и улучшать условия труда в целевых секторах (МОТ), русская версия 2017 г., с.2. (https://www.ilo.org/moscow/information-resources/publications/WCMS_577447/lang--ru/index.htm)
A Rough Guide to Value Chain Development: How to create employment and improve working conditions in targeted sectors (ILO), 2015, p. 2
(https://www.ilo.org/empent/areas/value-chain-development-vcd/WCMS_366005/lang--en/index.htm)

^[4] www.enterprisesurveys.org, размещен 16.12.2020 г.

^[5] Классический пример ФПСЦ, выгодный для всех трех сторон, - это когда финансовое учреждение предоставляет ссуду производителю (МСП) на основании контракта с его заказчиком (якорным предприятием), освобождая якорное предприятие от необходимости самому кредитовать производителя. У якорного предприятия высвобождается оборотный капитал, производитель получает более свободный доступ к кредиту (возможно, на более выгодных условиях), а финансовое учреждение получает нового клиента МСП при снижении операционных издержек.

^[6] В данной врезке использованы адаптированные материалы из рабочих документов, подготовленных Институтом Азиатского банка развития: «Развитие финансирования МСП на основе производственно-сбытовых цепочек в странах ЦАРЕС, не имеющих выхода к морю: Кыргызская Республика», Канат Тилекеев, (ADBI, No. 972), 2019

The content of this box was adapted from: ADBI Working Paper Series, Leveraging SME Finance Through Value Chains in the CAREC Landlocked Economies: The Case of the Kyrgyz Republic, Kanat Tilekeyev, (ADBI, No. 972), 2019.

^[7] Эта дискуссия возникла во многом под влиянием брошюры МФК «Технология и цифровизация для финансирования ПСЦ (МФК)», 2020
Technology and Digitization in Supply Chain Finance (IFC), 2020. 

На протяжении уже более, чем двух десятилетий проблема кибербезопасности и связанных с киберпреступностью рисков приобретала все более актуальное значение наряду с другими приоритетными задачами финансовых учреждений (ФУ). Но кризис пандемии COVID-19 внес свои коррективы в правила игры, заставив ФУ резко изменить подходы и адаптироваться к новым методам работы и способам коммуникации.

Большинство ФУ уже несколько лет идут по пути цифровизации с целью повышения эффективности и использования преимуществ технологии для предоставления клиентам более качественных финансовых услуг. Однако с расширением пандемии COVID-19 и введением карантинных мер вопросы цифровизации еще более остро встали на повестке дня многих учреждений или были пересмотрены на фоне чрезвычайной ситуации. Появилась необходимость в переходе от предоставления услуг через филиалы к мобильным услугам и цифровым каналам связи, и эти изменения в стратегии уже породили новые риски и будут порождать и дальше, требуя внедрения новой практики на разных уровнях ФУ.

Новая реальность становится привычной и касается всех, поскольку во время пандемии люди должны соблюдать нормы домашней самоизоляции и социального дистанцирования. Сотрудники учреждений были вынуждены перейти на дистанционную работу без достаточной подготовки и знаний об ограничениях и изменениях, которыми сопровождается такая новая форма работы. Во время чрезвычайной ситуации в процессе работы с клиентами через новые цифровые каналы доступа к услугам ФУ возникают новые угрозы, и появляется необходимость внедрять новые методы. Сами учреждения также нуждаются в проведении изменений на структурном уровне, чтобы новые модели работы с вытекающими рисками не наносили ущерба безопасности ФУ.

Киберугрозы - не новое явление. Однако в условиях глобальной пандемии COVID-19 возросшее число людей, работающих из дома и/или использующих цифровые каналы для банковских операций, создало идеальную среду для процветания киберпреступности и для более агрессивного использования киберпреступниками имеющегося в их распоряжении арсенала средств.

Работа из дома и защита сотрудников

Пандемия привела к внезапному и быстрому росту числа сотрудников, работающих из дома. Кроме того, остро встал вопрос о переводе клиентов финансовых учреждений с традиционных банковских услуг к цифровым. Хотя киберугрозы сами по себе не новы как явление, в условиях глобальной пандемии значительно возросли риски, связанные с кибербезопасностью. В частности, на передний план вышли такие ключевые проблемы, связанные с кибербезопасностью, как:

1. подверженность кибератакам работающих из дома сотрудников;
2. развертывание защищенных цифровых каналов для оказания банковских услуг;
3. готовность ФУ к обнаружению и реагированию на киберугрозы.

Работая офисной среде, сотрудники обычно соблюдают политику компании, которая включает в себя определенные элементы контроля в отношении кибербезопасности, такие как правила настройки устройства, защита с помощью брандмауэра, контроль доступа к внутренней сети, регулярные антивирусные обновления и т. д. Однако, работая из дома, сотрудники находятся за пределами защищенной офисной среды и, следовательно, часто работают через менее защищенные сети Wi-Fi и с устройств, которые не настроены в соответствии с политиками компании. Это делает сотрудников более уязвимыми для кибератак. Сотрудники, работающие из дома, чаще всего сталкиваются с фишингом и информационно-психологическими атаками социальных инженеров. В обычных условиях, если сотруднику требуется удаленный доступ, с ним проводится соответствующий инструктаж и ему предоставляются защищенные устройства. Однако из-за неожиданно возросшей потребности в удаленном доступе для большого числа сотрудников, работающих из дома, адекватная защита каналов удаленного доступа не всегда бывает обеспечена.

Удаленный доступ к программному обеспечению

 Риск любого удаленного доступа должен оцениваться финансовыми учреждениями, как средний или высокий. ФУ должны придерживаться следующих правил для обеспечения безопасного удаленного доступа:

• Многофакторная аутентификация для всех пользователей каналами удаленного доступа, поскольку пароли, как единственное средство контроля, могут быть легко скомпрометированы.

За последние 5 лет многофакторная аутентификация прошла путь от высокого до золотого стандарта безопасности для участников онлайн пространства.

• Должна быть внедрена политика надежных паролей. Требования к паролям, предусматривающие не менее 6 символов со случайной комбинацией цифр и букв в верхнем и нижнем регистрах, обеспечивают более высокую надежность.
• Корпоративные виртуальные защищенные сети (VPN) следует использовать вместо протоколов удаленного рабочего стола (RDP) через Интернет. Ограниченный и безопасный доступ через VPN может значительно уменьшить поверхность атаки в случае ее возникновения.
• Частные компьютеры сотрудников, которые не предоставлялись финансовым институтом, должны быть подключены в соответствии с политикой ФУ в отношении антивирусного программного обеспечения и антишпионских решений, а также при условии применения определенных настроек безопасности в веб-браузерах.

Aнтивирусные пакеты избавят вас от проблем, предлагая автоматическую защиту от множества угроз.

• Домашние соединения Wi-Fi должны использовать строгий протокол безопасности (например, WPA2 – защищенный доступ по Wi-Fi), а имена пользователей и пароли по умолчанию на оборудовании домашней сети, таком как, например, маршрутизатор Wi-Fi, должны быть изменены.

Практика виртуальных интернет-конференций

 В связи с переходом на удаленную работу все больше приходится пользоваться приложениями для видео- и аудиоконференций, но эти инструменты все чаще становятся мишенью киберпреступников. Финансовые учреждения должны конфигурировать эти инструменты таким образом, чтобы ограничить несанкционированный доступ, и убедиться, что сотрудники проинструктированы, как безопасно их использовать. Финансовые учреждения должны установить корпоративные политики безопасного проведения виртуальных собраний и обучить сотрудников их соблюдению, поскольку сотрудники используют эту технологию для встреч с коллегами и клиентами.

• Для входа в любое собрание/конференцию необходимо обеспечить код доступа или пароль.
• Не размещайте идентификаторы собраний в социальных сетях, если собрание не предназначено для широкой общественности.
• Ограничьте повторное использование кодов доступа для предотвращения входа нежелательных участников. При повторном использовании такие коды могут оказаться в распоряжении бывших сотрудников или бывших клиентов.
• Если собрание посвящено конфиденциальным вопросам, используйте одноразовые ПИН-коды или идентификаторы собрания и рассмотрите возможность многофакторной аутентификации для присоединения к собранию.
• Используйте виртуальную «комнату ожидания» для участников, которые вошли в систему до начала собрания, и давайте только организатору право начинать собрание.
• Используйте мелодию, звучащую при входе каждого очередного участника в систему, и просите новых участников представиться.
• При наличии используйте панель мониторинга для отслеживания присоединившихся участников и идентификации всех участников по категориям.
• Не записывайте собрание, кроме случаев, когда это необходимо.
• Если это веб-встреча (с видео), напомните участникам о том, чтобы они не делились конфиденциальной информацией.

Меры для предотвращения потери данных

 У сотрудников могут быть личные учетные записи и приложения, которые не авторизованы организацией. Это могут быть учетные записи электронной почты и другие неавторизованные приложения. Финансовые организации должны напоминать сотрудникам о следующем:

• Избегать отправки электронной почты с корпоративных электронных адресов на личные электронные адреса.
• Использовать на рабочих компьютерах только утвержденные компанией USB-устройства
• Определить, где и как должна храниться конфиденциальная информация с использованием внешних носителей, централизованного файлового сервера учреждения или облачной службы.
• Регулярно, ежедневно делать резервные копии всей ценной информации, хранящейся на вашем устройстве. Резервное копирование данных имеет решающее значение для минимизирования последствий в случае потери, повреждения, заражения или кражи данных.
• Попросите сотрудников использовать рабочие устройства только для профессиональных целей и блокировать их, когда они отходят от них. Невинная активность на рабочем компьютере может привести к нарушениям безопасности.

Доступ к клиентам через цифровые каналы

В связи с вызванной пандемией неопределенностью, в условиях которой вынужден действовать весь финансовый сектор, цифровые каналы и цифровые продукты стали для ФУ наиважнейшими каналами коммуникации и взаимодействия с клиентами и предложения им финансовых услуг. Наблюдается резкий скачок в развертывании финансовыми учреждениями цифровых продуктов и каналов, в основном, с использованием следующих технологий и платформ:

• мобильные приложения;
• чатботы;
• Интернет-банкинг.

Это открытые каналы, доступные для широкой публики, и любой желающий может подключиться к ним. После прохождения регистрации пользователь сразу может воспользоваться сервисом для взаимодействия или транзакций. Такие банковские цифровые каналы обеспечивают удобство и контроль для клиента, но, с другой стороны, финансовые организации обязаны обеспечить защиту таких общедоступных систем от уязвимостей, которыми могу воспользоваться киберпреступники для проведения кибератак.

Скорость развертывания мобильного приложения не должна происходить в ущерб безопасности. Каждый из вышеупомянутых цифровых каналов имеет свои особенности, о чем пойдет речь ниже, и требует особого подхода с точки зрения безопасности.

Мобильные приложения

 Благодаря широкому распространению мобильных устройств, для многих пользователей мобильные банковские приложения стали цифровым каналом выбора. Мобильные приложения позволяют клиентам выполнять большинство банковских операций, не посещая филиал, включая проверку баланса счета, денежные переводы, оплату счетов, просмотр выписок, прямое управление картами и обращение в службу поддержки. За последние годы, еще до появления COVID-19, число пользователей, работающих с мобильными приложениями, росло феноменальными темпами, превысив во многих странах число пользователей, посещающих филиалы для проведения операций. В условиях пандемии COVID-19 использование мобильных приложений пережило очередной всплеск.

С ростом популярности, растет и кибер-риск. В цепочке мобильных технологий есть три области, где могут иметься уязвимости, которыми злоумышленники могут пользоваться для проведения своих кибератак. Эти области включают само устройство, сеть и центр обработки данных. Есть атаки, нацеленные на само мобильное устройство и использующие его уязвимости для организации кибератаки. Например, атака может быть инициирована с помощью фишинга, то есть загрузки вредоносного кода (drive by download) без ведома пользователя при посещении им поддельного веб-сайта. Сетевые атаки, напротив, эксплуатируют уязвимости сети, к которой подключено мобильное устройство. Например, если приложения мобильного устройства не обеспечивают шифрования при обмене данными через незащищенную сеть Wi-Fi, есть риск перехвата этих данных злоумышленником, подслушивающим сеть Wi-Fi. Объектом атак, направленных на центры обработки данных, являются веб-серверы и базы данных. При этом злоумышленник эксплуатирует уязвимости в операционных системах или модулях приложений, работающих на веб-сервере.

Чатботы

 Хотя чатботы уже довольно широко используются, для многих пользователей они все еще в новинку. Для ФУ чатботы - это очень полезная технология для ежедневного взаимодействия с клиентами, с возможностью интеграции с технологией с элементами искусственного интеллекта. Использование этой технологии в финансовом секторе должно соответствовать нормативам регулирования отрасли, защищающим данные клиентов от посягательств третьих лиц.

В настоящее время финансовые учреждения размещают чатботы в социальных сетях, таких как WhatsApp, Telegram, Viber и Facebook Messenger. Их используют для предоставления ряда банковских услуг, таких как проверка баланса счета, перевод средств, просмотр мини-выписок, сопровождение новых клиентов и оплата счетов.

Интернет-банкинг

 Интернет-банкинг существует и развивается уже на протяжении десятилетий. Интернет-банкинг предлагает клиентам простой способ контролировать свои финансы, позволяя им просматривать платежи, проверять остатки на счетах, обновлять личную информацию и получать доступ к другим банковским услугам в режиме онлайн через защищенный веб-сайт. Легкий доступ делает интернет-банкинг распространенной мишенью хакеров и других киберпреступников. Понимание проблем безопасности, связанных с интернет-банкингом, может помочь как финансовым организациям, так и клиентам обезопасить себя от вторжений. Главным фактором при устранении уязвимостей в интернет-банке является соблюдение руководящих принципов работы через цифровые каналы, которые перечислены ниже в таблице.

Адаптация организации к новым вызовам

В эпоху технологических преобразований, более широкого использования цифровых каналов, а также более интенсивного использования облачных хранилищ и более широких сетевых возможностей масштаб угроз нарастает, и злоумышленники всяческими изощренными способами будут пытаться одновременно атаковать операционные системы и средства резервного копирования, что потенциально может привести к разрушительным последствиям для предприятия в целом.

Финансовые организации могут усовершенствовать механизмы защиты и подготовиться к атакам, соблюдая хорошую кибер-гигиену (компьютерную гигиену), утвердив и соблюдая стратегию и архитектуру реагирования на кибер-вторжения, внедряя решения для кибер-восстановления, чтобы смягчить последствия кибератак.

Хорошая кибер-гигиена — это комплекс практических мер и шагов, предпринимаемых финансовыми учреждениями и сотрудниками для поддержания работоспособности системы и повышения сетевой безопасности. Значительно повысить безопасность любой системы может систематическое выполнение ряда базовых профилактических мер:

• регулярная рассылка информационных и предупредительных сообщений для сотрудников, содержащих, помимо прочего, следующие базовые сведения о мерах по соблюдению кибербезопасности:

• остерегайтесь фишинга, особенно мошеннических рекламных объявлений и подставных сайтов, якобы связанных с COVID-19;
• знайте все «Можно» и все «Нельзя» при работе из дома;
• убедитесь в безопасности вашей домашней сети Wi-Fi;
• всегда используйте VPN в общедоступных сетях Wi-Fi.

• создание общего канала под названием # phishing-attack или адреса электронной почты, на который пересылаются подозрительные электронные письма;
• определение ключевых финансовых сотрудников, чтобы обеспечить бесперебойную доступность услуг для клиентов;
• пересмотр планов по обеспечению бесперебойной работы в условиях пандемии COVID-19;
• обновление «Политики допустимого использования» вашей компании в связи с переходом на дистанционную работу из дома и использованием домашних компьютеров;
• определение функций, которые могут выполняться только в защищенной офисной среде (т.е. не удаленно);
• пересмотр и адаптация планов аварийного восстановления применительно к текущей ситуации;
• обеспечение защитных технологий на конечных точках (установка аппаратной защиты, антивируса, системы обнаружения угроз и реагирования на конечных точках и т. д.);
• обеспечение принудительного обновления программного обеспечения;
• использование менеджера паролей или проведение аудита паролей;
• обеспечение VPN-доступа и отключение разделенного туннелирования;
• повсеместная активация многофакторной аутентификации, особенно в учетных записях электронной почты.

Практические шаги по обеспечению безопасной среды

Основным решением для снижения угроз является обеспечение высокой степени информированности сотрудников и, по возможности, клиентов. Для этого можно использовать несколько инструментов:

Информационные семинары, на которых данный предмет обсуждается с сотрудниками или клиентами, включая обмен опытом с теми, кто подвергался кибератакам. Такие семинары должны быть направлены на обновление знаний сотрудников о минимальных требованиях к информационной безопасности.

Безопасность электронной почты. Сотрудники должны знать, как обеспечить безопасность своей электронной почты:

• не открывать электронные письма, вложения и подозрительные ссылки, полученные из неизвестных или ненадежных источников;
• проверять неожиданные вложения или ссылки от знакомых, связавшись с ними по другому каналу связи - по телефону или через текстовое сообщение;
• не сообщать неизвестным источникам личную информацию, такую как пароли, даты рождения и особенно номера социального страхования;
• соблюдать особую осторожность при получении электронных писем с плохим дизайном, грамматическими ошибками или ошибками в правописании, поскольку это может быть признаком фишинга.

Защита с помощью паролей

• Обеспечьте использование надежных паролей для всех учетных записей корпоративных пользователей.
• Избегайте легко угадываемых слов, таких как имена домашних животных, детей и супругов, а также общих дат, таких как дни рождения.

Сетевая безопасность

• Чтобы обеспечить безопасность ваших данных, убедитесь, что все веб-сайты, которым требуется ввод учетных данных, таких как имена пользователей и пароли, а также сайты, которые используются для проведения финансовых операций, зашифрованы действительным цифровым сертификатом. Подобные защищенные сайты обычно имеют зеленый замок в поле URL и начинаются с «https».
• Пока сотрудники ФУ работают удаленно, убедитесь, что они не используют общедоступные компьютеры и/или не подключаются к общедоступным соединениям Wi-Fi для входа в учетные записи и доступа к конфиденциальной информации.
• Выходите из учетных записей и выключайте компьютеры и мобильные устройства, когда они не используются.

Рекомендации по содержанию устройств

• Держите все аппаратное и программное обеспечение обновленным до новейшей исправленной версии.
• Применяйте одобренные компанией антивирусные и антивредоносные ПО на всех устройствах и обновляйте их до новейшей версии.
• Ежедневно создавайте несколько резервных копий всех важнейших и конфиденциальных данных и храните их вне сети на случай заражения данных вымогателями или другими вредоносными программами. Это позволит вам при необходимости восстановить потерянные файлы.

Моделирование ситуаций фишинга - включает в себя рассылку электронных писем, перенаправляющих получателей на страницу с объяснением проблемы и возможных последствий, как это обычно происходит в ситуации с настоящей фишинговой атакой.

Обучение технологиям – проводится при внедрении новых технологий, чтобы обеспечить хорошее понимание сотрудниками процедур, ограничений и опасностей, связанных с использованием новых технологий.

Доступ к информации и ее распространение. Централизованное хранение в одном месте всех информационных материалов, которые ФУ намерено использовать в рамках кризисного управления - отличный способ обеспечить своевременную доставку нужной информация до нужных сотрудников. Для своевременной передачи сотрудникам всей необходимой информации могут использоваться внутрикорпоративные информационные платформы (интранет), а также регулярная ежедневная рассылка электронных писем.

COVID-19 как катализатор цифровой трансформации

Кризис COVID-19 в короткие сроки привел к значительным изменениям в восприятии и применении удаленных рабочих и альтернативных каналов. Отголоски этих изменений будут сказываться на работе финансовых учреждений и формировать другую картину мира еще долгие годы: это будет цельный мир без препятствий (мир удаленной связи), в котором все типы клиентов будут использовать все типы каналов для различных целей; мир, в котором не будет различий между финансовыми услугами, получаемыми через мобильный телефон или непосредственно в филиале. Сами по себе эти технологии и подходы не появились в кризис COVID-19, но кризис явился катализатором и ускорителем их применения, породив для финансовых институтов как возможность, так и необходимость в создании цифровых практик и процедур, которые потребуются завтра.