Риски Интернет-технологий применительно к Интернет-брокериджу
Субботин Сергей Группа независимых экспертов
Работа брокера с клиентом для оценки рисков С технологической точки зрения системы обслуживания клиентов и продажи им услуг (вне зависимости от методов реализации и названий услуг) у разных брокеров мало отличаются. Действительно, трудно придумать какую-нибудь новую услугу на отечественном фондовом рынке, если даже на западных финансовых рынках фактические услуги сводятся к консультированию, управлению активами и оказанию брокерских услуг при проведении операций. Часто обсуждаемое сегодня кредитование клиентов ценными бумагами и marging-trading скорее можно отнести не столько к отдельным к услугам, сколько к сервису. Рассмотрим подробнее с точки зрения технологии оказание брокерских услуг клиентам и возможные риски, связанные с использованием при этом Интернета. Информационные потоки в отсутствие Интернета выглядят следующим образом: 1. клиент - рынок - оформление поручения - передача его брокеру - получение подтверждения от брокера о принятии поручения к исполнению - получение сообщения о полном (частичном) исполнении (неисполнении) поручения - получение отчета о полном (частичном) исполнении (неисполнении) поручения - акцепт отчета брокера или возражения по нему. 2. клиент - поручение - брокер - проверка корректности поручения - проверка достаточности активов клиента - выставление поручения клиента для исполнения - получение данных торговой системы о сделке по поручению клиента (или невозможности заключить сделку) - ввод данных по поручению о сделке в учетно-операционную систему - передача данных о сделке (или о невозможности ее исполнить) клиенту - подготовка отчета по поручению для клиента - передача отчета клиенту - получение от клиента акцепта отчета или возражений по нему - внесение соответствующих данных в учетно-операционную систему. Приведенные здесь схемы являются обобщенными, но для оценки рисков, связанных с Интернет-технологиями, их вполне достаточно.
Информационное взаимодействие брокера и клиента Очевидно, что брокеру для работы с поручением клиента необходимо провести большее количество действий по сравнению с клиентом. Каждое из звеньев этой цепочки распадается на сложный и разветвленный алгоритм, обеспечивающий максимально быстрое и качественное исполнение поручений клиентов и в то же время снижающий затраты брокера на обслуживание поручений. Максимальные риски при работе клиента с брокером через Интернет содержит в себе вторая схема: клиент-поручение-брокер. При работе через Интернет она изменится следующим образом: клиент - выход на сайт брокера - авторизация - раздел <Информация о рынке> - оформление поручения - передача поручения брокеру - получение подтверждения от брокера о принятии поручения к исполнению - получение сообщения о полном (частичном) исполнении (неисполнении) поручения - получение отчета о полном (частичном) исполнении (неисполнении) - акцепт отчета брокера или возражения по нему. Это тоже весьма упрощенная схема, которая не отражает всех аспектов работы клиента с брокером через Интернет, тем не менее она вполне подходит для обсуждения рисков работы с клиентом через Интернет с точки зрения технологии. Максимальные риски для клиента и для брокера относятся не столько к процессам обработки принятого поручения клиента и подготовки отчетности, сколько к начальным процессам - авторизации клиента у брокера и его однозначной аутентификации, а также процессам передачи поручений клиента брокеру. Если авторизация и аутентификация клиента больше относятся к вопросам информационной безопасности и защиты данных в сетях, а также использования средств электронной подписи, то процессы обмена данными при передаче и приеме поручения скорее относятся к операционным технологиям.
Процессы обслуживания клиентов через Интернет Рассмотрим эти процессы порознь. 1. Авторизация клиента и его аутентификация Если для авторизации клиента достаточно системы username - password, то для однозначной аутентификации может быть недостаточно и электронной подписи клиента. С точки зрения технологии электронная подпись не является средством, которое позволяет однозначно идентифицировать подписавшего сообщение или электронный документ, как в случае с обычной подписью. Электронная подпись скорее является факсимиле клиента или его личным штампом, при этом возникает не столько риск взлома или подделки подписи клиента, сколько риск того, что подписывать сообщения или документы будет совсем другой человек. Разумеется, сохранность дискеты или файла с электронной подписью и их защищенность являются проблемой самого клиента, а не брокера, но если учесть, что брокер может быть использован недобросовестными клиентами в мошеннических целях, то вопрос однозначной аутентификации клиента выглядит куда серьезней, чем запись в договоре о том, что клиент самостоятельно отвечает за сохранность файла с подписью, полученного от брокеров. Действительно, для подготовленного человека ничего не стоит написать простую программу, которая отправляла бы письма стандартного содержания, заверенные электронной подписью, по определенному адресу через какие-то промежутки времени. Для того чтобы снизить этот риск, перед началом работы клиент должен ответить на несколько вопросов, ответы на которые должны быть однозначными, состоящими из одного ключевого слова. Специальная программа запомнит эти ответы клиента, а затем при каждом его подключении случайным образом будет выбирать несколько вопросов, на которые он должен будет ответить еще раз. Если ответы не совпадут с имеющимися в базе, программа не допустит клиента к дальнейшей работе. Разумеется, этот способ - один из возможных и имеет свои недостатки. Он наиболее пригоден для тех клиентов, которые работают с брокером достаточно часто (ежедневно или несколько раз в неделю), а те, кто работает изредка, могут и не запомнить свои ответы. Очевидно, что брокеру следует иметь специальные процедуры, которые наряду с классическими, использующими индивидуальный логин и пароль клиента и его электронную подпись, позволяли бы максимально быстро и четко аутентифицировать каждого клиента, подключающегося через Интернет. 2. Риски процессов обмена данными Рассмотрим теперь риски процессов обмена данными при формировании клиентом поручения на сделку и передачу поручения брокеру посредством Интернет-технологий. Простейшие риски, связанные с неправильным оформлением клиентом поручения (продает больше, чем есть; поручение не соответствует требованиям бирж и т.п.), могут и должны быть отслежены информационной системой брокера, которая отвечает за автоматический прием и обработку поручений клиента. Технические риски, связанные со сбоями в работе Интернет-программ (стандартные браузеры, почтовые программы) или при соединении клиента с его провайдером, должны быть прописаны в договоре брокера и клиента на Интернет-обслуживание (или в регламенте к договору). Иначе работа через Интернет может оказаться для брокера, заваленного жалобами и претензиями, изощренным издевательством. Несколько хуже обстоит дело с рисками, связанными со временем передачи и приема поручения. Заметим, что эти риски присущи любой системе, где клиент передает свои поручения брокеру не напрямую (лично в операционном зале или сотруднику по телефону), а опосредованно, через телекс, факс, электронную почту или через Интернет. Эти риски при работе через Интернет могут стать весьма существенным препятствием в развитии этого направления. Классической для Интернет-обслуживания с неотрегулированной технологией и непродуманной системой обмена данными между брокером и клиентом является следующая ситуация: клиент дает поручение на покупку акций в 12 час 35 мин по 1 руб. за акцию. В конце дня клиент получает отчет о покупке ему акций по 1 руб., но сделка состоялась в 17 час 10 мин, когда можно было купить акции по 80 коп. (т.е. с убытком). Попытка клиента понять, почему его поручение было исполнено спустя четыре с лишним часа, приведет его в любом случае к подаче на брокера в суд или обращению к регулятору. Ни первый, ни второй вариант не устроят брокера, так как это нанесет определенный удар по репутации компании. Возможен и обратный вариант, когда клиент обращается с претензией об упущенной выгоде нарочно, в мошеннических целях, а брокер не может предоставить убедительных доказательств того, что клиент сознательно искажает ситуацию (вернее, доказательства он предоставить сможет, но в силу их специфики вряд ли они окажут желаемое воздействие на суд или регулятора). Что же делать? Такая ситуация нуждается в тщательном и отдельном описании в специальном приложении (или регламенте) к договору между брокером и клиентом. Необходимо четко и однозначно определить в этом документе: - что считать временем регистрации поручения клиента у брокера; - что считать временем исполнения поручения брокером; - где и как фиксируется время регистрации поручения клиента у брокера; - как об этом узнает клиент; - возможность обращения брокера и клиента к третьей стороне при возникновении спорных ситуаций. На последний вопрос стоит обратить особенное внимание. Наличие третьей стороны, свидетельство которой о фактах обмена данными между клиентом и брокером, однозначно признающиеся сторонами, существенно снижает риски работы с клиентами через Интернет. Следует определить и зафиксировать, какие именно данные получает третья сторона и в какой момент времени. Возможно третьей стороне придется получать следующие сведения: - данные о поручениях клиента, которые передаются брокеру (номер поручения, дата и время передачи); - данные о поручениях клиента, которые зарегистрированы у брокера (номер поручения, дата и время регистрации) - данные о подтверждениях регистрации брокером поручений клиентов (номер поручения, на которое передается подтверждение, дата и время передачи клиенту подтверждения); - данные о подтверждениях брокером клиенту факта заключения сделки по его поручению (номер поручения клиента, номер подтверждения клиента, дата и время передачи клиенту подтверждения); - данные о передаче брокером клиенту отчета по сделке, заключенной в соответствии с поручением (номер отчета, номер поручения, дата и время передачи клиенту отчета); - данные об акцепте/отказе в акцепте отчета по поручению клиентом (номер отчета, номер поручения, дата и время ответа клиента, статус отчета - акцептован, отклонен). На самом деле сведений может быть и больше; третья сторона может получать вообще копии всех сообщений, которыми обмениваются в течение операционного дня клиент и брокер. Здесь указаны лишь те, которые обязательно должны фиксироваться у третьей стороны. Рассмотрим значение этих сведений для брокера и клиента в системе Интернет-обслуживания. Первые три пункта необходимы в большей мере для клиента как подтверждение того, что брокер не просто получил, но и принял поручение клиента в определенное время. Остальные пункты в большей степени нужны брокеру как подтверждение того, что клиент получил извещение (отчет) о заключенной сделке по его поручению, и как обоснование списания комиссии по сделке со счета клиента. Получение этих данных третьей стороной позволит свести к минимуму недоразумения, присущие российскому Интернету. Кто может быть третьей стороной? - это не столь важно. Важно, чтобы клиент и брокер полностью доверяли третьей стороне, чтобы у этой организации была возможность получать и хранить в надлежащем порядке копии сообщений, которыми обмениваются клиент и брокер. Вероятно, идеальной третьей стороной стала бы страховая компания, где страхуют свои риски клиент и брокер, однако пока в России нет страховых компаний, которым могли одновременно доверять и брокеры, и клиенты и которые умели страховать специфические риски фондового рынка и риски Интернет-технологий, а также подходили по расценкам и для брокеров, и для клиентов, особенно для частных лиц. Другой вариант предлагает ТЦ РТС: выбрать в качестве третьей стороны, хранящей копии сообщений клиентов и брокера, разработчика программного продукта, который используется при Интернет-обслуживании. Технически это вполне правильно и целесообразно, так как у специализированного разработчика гораздо больше возможностей для организации приема и архивирования электронных сообщений брокера и клиентов. Однако в этой схеме разработчик тоже является заинтересованным лицом. Как создатель и владелец программы обмена данными он заинтересован, с одной стороны, в максимальной эффективности и качестве работы программы, с другой - не хотел бы оглашения возможных ошибок и сбоев в своей программе. Необходимо заметить, что в любом случае выбор третьей стороны должен принадлежать только клиенту и брокеру. К сожалению, в России отсутствует в настоящее время институт электронного нотариата, когда можно было бы выбирать третью сторону не из двух-трех позиций, а из списка в несколько десятков компаний, оказывающих услуги подобного рода. Подводя итоги по поводу оптимального соотношения между технологиями обслуживания брокерами клиентов и рисками Интернет-обслуживания, отметим следующие важные факторы: - брокер должен иметь комплексную систему мер информационной защиты, позволяющую предельно точно и ясно идентифицировать клиента при подключении через Интернет; - брокер должен иметь документ, детально описывающий для клиента всю систему отношений и обмена данными между ними через Интернет; - в документах, должны содержаться четкие и однозначные определения, необходимые брокеру и клиенту для фиксации существенных моментов при обмене данными (например, время приема поручения к исполнению у брокера, время акцепта клиентом отчета брокера о заключенной сделке, время получения клиентом отчета брокера по заключенной сделке и т.п.); - необходим список сведений (или типов информационных сообщений), копии которых параллельно с участниками информационного обмена получает третья сторона, к которой участники могут обращаться в случае возникновения конфликтов; - наличие третьей стороны, свидетель-ство которой при разбирательстве пре-тензий или жалоб принимается сторонами безоговорочно. Разумеется, эти меры не решат всех проблем, связанных с использованием Интернет-обслуживания, но они могут существенно сузить их круг и создать эффективные механизмы для их предупреждения.
