Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
СЭБ, то зачастую этот факт не приводит к пересмотру содержания рассматриваемых планов, прежде всего потому, что отсутствуют необходимые руководящие решения, ориентированные на конкретные подразделения кредитной организации, а если такие решения имеются, то часто «не срабатывает» соответствующая контрольная функция (в обеспечение их выполнения), что свидетельствует о недостатках в процессе ВК.
Внедрение каждой новой СЭБ (не говоря уже о ТЭБ) должно, в общем случае, приводить в рамках мета-процесса к пересмотру содержания и разработке новых редакций как самих планов, так и порядков их тестирования. Тем самым каждый раз будет совершаться очередной виток соответствующего цикла, за счет чего и сможет быть обеспечена надежность банковской деятельности (в ее технологической и технической части). Важно при этом не забывать, что задачи обеспечения доступности банковских автоматизированных систем и восстановления их штатного функционирования в условиях ДБО являются комплексными и решать их целесообразно с позиций оптимизации процесса УБР.
5.10. Организация отношений с провайдерами
Кредитные организации все чаще передают выполнение тех или иных технологических процедур, связанных с обработкой, передачей и хранением банковских данных, сторонним организациям, т. е. провайдерам услуг, вследствие чего оказываются в той или иной мере зависимыми от этих провайдеров, как и клиенты этих организаций. Зависимости, возникающие в ИКБД, могут быть достаточно разнообразными, и по этой причине управление отношениями с провайдерами требует организации специального внутрибанковского процесса (как совокупности процедур, ориентированных на различные сегменты этого контура ДБО). Несмотря на то что аутсорсинг [180] может улучшить банковское обслуживание, способствовать его оптимизации и контролю над стоимостью, а также обеспечить техническое содействие, требуемое для поддержания и расширения предлагаемых услуг, он привносит в банковскую деятельность дополнительные рисковые компоненты, которые целесообразно учитывать кредитным организациям в процессе УБР. Кроме того, возрастает подверженность самих кредитных организаций банковским рискам, компоненты которых связаны с состоянием и характеристиками деятельности провайдеров (поскольку зависимость означает уязвимость) в части источников компонентов операционного, правового и репутационного рисков, начиная с отказов оборудования этих организаций, продолжая раскрытием конфиденциальной информации, сетевыми атаками и заканчивая визитом налоговой инспекции [181] .
180
От англ. outsourcing — в наиболее общем случае этот термин используется для обозначения стороннего обслуживания какого-либо учреждения, в банковском секторе он чаще всего употребляется для обозначения организации контрактных отношений в части компьютерной обработки данных, хранения их массивов на отчуждаемых носителях информации, предоставления телекоммуникационных услуг и т. п.
181
О необходимости ознакомления с финансовым состоянием провайдера и отчетами его внешнего аудита всегда говорится в материалах зарубежных органов банковского регулирования и надзора.
Что касается особенностей применения аутсорсинга в целом и организации отношений с провайдерами, то одним из наиболее важных вопросов становится организация взаимодействия с теми провайдерами, с которыми ранее никакие отношения кредитными организациями не поддерживались в силу отсутствия у них необходимости в такого рода услугах. Тем не менее внедряемые в кредитной организации бизнес-процессы, связанные с ДБО и реализующие отношения в рамках соглашений на аутсорсинг, также логично было бы рассматривать с позиций внутрибанковского «метапроцесса», поскольку, во-первых, ключевые требования к ним аналогичны, — все они связаны с выполнением ею обязательств перед клиентами, во-вторых, каждая новая ТЭБ может потребовать привлечения дополнительных сторонних организаций к формированию нового или модернизации уже используемого ИКБД в обеспечение предоставления клиентам ДБО новых сервисов.
При определении содержания договоров с такими провайдерами целесообразно четко определять права и обязанности сторон исходя прежде всего из состава обязательств перед клиентами кредитной организации. Одновременно желательно прорабатывать те или иные запасные варианты (в зависимости от вида аутсорсинга), в которых предусматриваются дополнительные маршруты или способы информационного взаимодействия с клиентами, способы оповещения их о тех или иных проблемных ситуациях вместе с подтверждением гарантий соблюдения их интересов, объяснением причин возникновения таких ситуаций и предложениями конкретных действий, позволяющих это взаимодействие продолжить и т. п. Необходимо упомянуть также возможную зависимость от поставщиков АПО систем электронного банкинга (вендоров), хотя такого рода зависимости обычно аутсорсингом не считаются, но, с точки зрения автора, если компания-разработчик комплекса ДБО по каким-либо причинам уйдет с этого рынка, то СЭБ кредитной организации останется без сопровождения, а вместе с ним исчезнут и возможности для ее развития и расширения соответствующего направления банковской деятельности. Мало того, при этом не исключена и реализация компонентов стратегического риска, поскольку если СЭБ приобретена «под ключ» или заказана, то с течением времени может возникнуть потребность замены этой АС (в силу ее устаревания), а значит, возникнут расходы на вывод ее из эксплуатации и на приобретение другой СЭБ (те же финансовые потери).
Помимо изложенного, если говорить о возможных проблемах с представительствами кредитной организации в Сети, без которых уже не обойтись, необходимо помнить, что любой web-сайт может стать объектом атак хакеров, так что его содержание в общем случае уязвимо, причем, возможно, далеко неблагоприятным для самой организации образом (например, разрушение содержимого сайта, внедрение антирекламы, порочащих изображений, ссылок, баннеров и пр.). Эта проблематика рассматривается в главе 6, здесь же уместно отметить, что вследствие наличия этих и других негативных факторов кредитной организации оказывается необходим и соответствующий компонент плана действий в чрезвычайных обстоятельствах (параграф 5.9). Такой компонент в силу множественности негативных факторов и источников компонентов операционного, правового и репутационного рисков неизбежно также оказывается комплексным, тем самым его составление предполагает проведение если и не всестороннего, то достаточно объемного анализа, который могут провести совместно подразделения автоматизации (информатизации), ОИБ, ФМ и УБР (если оно выделено в отдельную службу), желательно под руководством представителя совета директоров или исполнительных органов кредитной организации (ввиду значимости интернет-сегмента для любой организации в настоящее время).
Содержание упомянутого раздела плана действий в чрезвычайных обстоятельствах может быть различным в зависимости от политики кредитной организации относительно использования собственных и сторонних представительств в Сети, назначения и конкретного размещения web-сайтов. Если web-сайт располагается на вычислительных «мощностях» компании-разработчика, интернет-провайдера или другой сторонней организации, то целесообразно еще до начала его практического использования (а лучше — проектирования) проанализировать сопутствующие компоненты банковских рисков и представить возможные последствия их реализации (включая, естественно, юридические). При этом, как и в других случаях аутсорсинга, в оптимальном варианте изучается репутация провайдера, возможно, его финансовая отчетность, АПО (с оценкой его надежности), квалификация персонала, опыт работы на данном рынке аутсорсинга и репутация, состояние ОИБ и т. д. Вся эта информация служит для оптимизации содержания контрактов на обслуживание и становится особенно важна в тех случаях, когда от функционирования провайдера прямо зависит качество обслуживания клиентов кредитной организации и могут затрагиваться их интересы. В такой ситуации содержание контрактов с провайдером логично было бы коррелировать с содержанием договоров с клиентами ДБО, особенно в части распределения ответственности в случае наступления предполагаемых чрезвычайных обстоятельств, а также в части механизмов возможных сопутствующих судебных разбирательств. Впрочем, если web-сайт располагается на вычислительных средствах самой кредитной организации, то соответствующий ряд процедур, относящихся к провайдерам и взаимоотношениям с ними, исключается из рассмотрения состава источников компонентов банковских рисков, хотя в рассматриваемом плане он все равно остается ввиду наличия угроз сетевых атак на информационно-процессинговые ресурсы самой организации.
Наконец, завершая этот параграф, необходимо упомянуть использование кредитными организациями «оффшоринга», что требует регулярного мониторинга, помимо рассматривавшихся банковских рисков, еще и странового риска (почему он и упоминался в главе 2). Организация, прибегающая к такому аутсорсингу, вынуждена вести мониторинг процессов, происходящих за рубежом, — политических, экономических, социальных, правовых — в стране дислокации провайдера услуг. Ей в соответствии с рекомендациями БКБН [182] следует также разработать план действий в случае прекращения выполнения своих обязательств таким провайдером (в том числе неожиданного) и «стратегию выхода» из контрактных отношений. В оптимальном варианте на крайний случай должны предусматриваться мероприятия по экстренному «возврату» выполнения необходимых функций на территорию своей страны, что предполагает наличие либо резервных мощностей у самой кредитной организации, либо резервной договоренности с аналогичным провайдером, предпочтительно резидентом.
182
Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, October 2002.
В результате при обсуждении пруденциальной организации взаимодействия с провайдерами речь должна идти о комплексе процедур, т. е. о процессе, в котором могут быть задействованы и операционные подразделения кредитной организации, и ее инженерно-технические специалисты, и юристы, наряду (возможно) со специалистами по ОИБ, ФМ и ВК (имея в виду систему ВК), а также сервис-центр. Очевидно, что формирование указанного процесса и его циклическая инициация по мере внедрения новых банковских информационных технологий является прерогативой высшего руководства или исполнительных органов кредитной организации, что целесообразно «закрепить» в ее внутренних документах. Логичным следствием этого должно являться распределение соответствующей ответственности и обязанностей (ролевых функций), подконтрольности и подотчетности между структурными подразделениями организации с доведением действия этой компоненты адаптации документарного обеспечения ДБО в кредитной организации (параграф 5.1) до должностных инструкций ответственных исполнителей в этих ее подразделениях и дополнения содержания процесса ВК в ней. Все это позволит снизить уровни компонентов банковских рисков, ассоциируемых с наличием зависимости надежности ДБО от провайдеров.
Глава 6
Управление web-отношениями кредитной организации
Особые условия требуют особых решений.
Web-отношения возникают у кредитной организации фактически уже при выходе ее в Сеть, с начала использования ею какого-либо web-представительства. Функционирование web-сайта определяется преимущественно тем АПО, на котором он реализован. Если возникают какие-то неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т. п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее web-представительствами, зависит от дислокации конкретного сайта и условий его функционирования (в том числе документально зафиксированных).
В том случае, когда «хозяином» web-сайта в полном смысле является сама организация и необходимые для нормальной работы в Сети web-сервера, брандмауэры, прокси-сервера, почтовые сервера и другое оборудование установлено непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, оперативно решаются ее же персоналом. Впрочем, здесь многое зависит от того, достаточен ли этот персонал для обслуживания СЭБ, имеет ли он необходимую квалификацию, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые положения имеются в должностных инструкциях и планах действий на случай чрезвычайных обстоятельств, доведены ли они до конкретных исполнителей (реально) и т. п.