"Управление в кредитной организации", 2007, N 1

ПРОЦЕССНЫЙ ПОДХОД К ПРИМЕНЕНИЮ ТЕХНОЛОГИЙ ЭЛЕКТРОННОГО

БАНКИНГА С ПОЗИЦИЙ РИСК-ФОКУСИРОВАННОГО НАДЗОРА <1>

(Продолжение. Начало см. "Управление в кредитной организации", 2006, N 6)

     
   ————————————————————————————————
   

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

Наблюдающееся в последние годы интенсивное внедрение кредитными организациями технологий электронного банкинга приводит к необходимости внесения изменений в существующие внутрибанковские процессы наряду с организацией и внедрением новых. Это обусловлено теми изменениями в бизнес-моделях банковской деятельности, которые свойственны таким технологиям. Процессный подход может облегчить переход банковских учреждений к новой организации своей деятельности.

Внедрение технологий электронного банкинга, или, иначе, дистанционного банковского обслуживания (ДБО), обусловливает, как правило, появление таких изменений в условиях осуществления банковского бизнеса, которые требуют адаптировать внутрибанковскую деятельность как таковую, прежде всего ввиду возникновения необходимости в принятии своего рода новой "парадигмы" этой деятельности. Безусловно, собственно происходящие изменения и их возможные последствия требуют, как подчеркивается во многих материалах зарубежных органов банковского регулирования и надзора, возможно более полного осознания органами управления кредитной организации, переходящей к новой бизнес-модели.

В то же время практика зарубежной и отечественной надзорной деятельности в области электронного банкинга свидетельствует о том, что такая полнота, к сожалению, отнюдь не гарантирована, вследствие чего типичным явлением за рубежом стал регулярный выпуск органами банковского регулирования и надзора рекомендаций относительно модификации внутрибанковских процессов при внедрении новых технологий ДБО. Связано это также с не менее типичным явлением, заключающимся в том, что, несмотря на нередко радикальные изменения в способах и условиях банковского обслуживания, отмечавшаяся выше потребность в знании всех необходимых данному бизнесу процессов и их содержания до конца не осознается. В итоге неизбежно возникновение разрывов между процессами принятия решений относительно инноваций такого рода, их практической реализацией, управлением технологиями и контролем над их применением. По-видимому, это - неизбежное следствие технического прогресса в целом.

Как следствие такого прогресса в банковском деле актуальным в настоящее время стал постулированный в первой части статьи принцип "знай свои технологии", который, по мнению автора, занял в банковской деятельности такое же ведущее место, как и ранее установленные принципы безопасной банковской деятельности "знай своего клиента" и "знай своего работника". Кстати, как состав, так и содержание управленческой информации, которая может потребоваться на разных уровнях менеджмента в кредитной организации для практической реализации двух последних принципов, зачастую определяются как раз применяемыми банковскими технологиями.

Все более актуальным такое осознание становится в последние годы в связи с возможностями использования высоких технологий, к которым относятся и технологии электронного банкинга, для противоправной деятельности <2>. При этом кредитные организации, предоставляющие ДБО, могут оказаться вовлеченными в такую деятельность только лишь из-за того, что недостаточно адекватно представляют себе сопутствующие осложнения из-за влияния особенностей новых технологий на обеспечение соответствия этим двум принципам. В том числе и поэтому одним из следствий с учетом сложности понимания таких технологий стала целесообразность применения процессного подхода.

     
   ————————————————————————————————
   

<2> Достаточно вспомнить, что за 2005 - 2006 гг. за нарушения нормативных актов о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма отозваны лицензии на осуществление банковских операций почти у 80 отечественных кредитных организаций.

Информационный контур банковской деятельности

Процессный подход может использоваться кредитными организациями для осуществления как оперативного, так и стратегического управления. Такой подход к управлению кредитной организации заключается, прежде всего, в систематической идентификации взаимосвязанных процессов и в управлении ими. Поэтому и требуется наряду с принятием решений о внедрении новых продуктов (видов обслуживания) или услуг принимать решения относительно того, какие именно управленческие и контрольные процессы необходимо разработать, внедрить, сопровождать и, более того, контролировать их реализацию уже в новых условиях банковской деятельности.

Здесь уместно отметить также существенные особенности в информационном обеспечении или поддержке принятия решений (ППР) относительно внедрения и применения технологий ДБО. Зачастую представители высшего руководства кредитных организаций имеют достаточно приблизительное представление о том, как технически реализуется электронный банкинг в каждом из уже достаточно многочисленных своих вариантов и как реализующие его процессы могут сказаться на итогах и эффективности банковской деятельности в целом. В результате органы управления кредитной организации вынуждены работать в условиях отсутствия необходимой информации как о собственно той или иной технологии ДБО (а такая информация, как правило, вообще сложна для восприятия при отсутствии соответствующей ей специальной квалификации), так и о том, какие условия применения определенной технологии могут считаться пруденциальными. Очевидно, что дефицит информационного обеспечения управления кредитной организации по этим двум вопросам может оказаться критическим с точки зрения ППР и принятия эффективных решений. Возможный вариант содержательного описания адаптации внутрибанковских процессов к внедрению новой технологии ДБО приведен на рисунке.

     
   —————————————————————————————————————————————————————————————————¬
   |     Комплексный подход к изучению вопросов технологического    |
   |и технического обеспечения банковской деятельности, соответствия|
   |  автоматизированного выполнения банковских операций и условий  |
   |     в кредитных организациях (в широком смысле) требованиям    |
   | законодательства и инструкций органов банковского регулирования|
   |     и надзора, осуществления управления банковскими рисками    |
   L—T———————————————————————————————————————————————————————————————
   

¦ ---------------------------------------------------------¬ +--+ Стратегическое планирование, принятие решений, ¦ ¦ ¦ документирование ¦ ¦ L------------------------------------------------------- ———— ¦ ---------------------------------------------------------¬ +--+ Организация деятельности, внутрибанковские процессы ¦ ¦ ¦ и процедуры ¦ ¦ L------------------------------------------------------- ———— ¦ ---------------------------------------------------------¬ +--+ Распределение обязанностей, ответственности ¦ ¦ ¦ и подконтрольности ¦ ¦ L------------------------------------------------------- ———— ¦ ---------------------------------------------------------¬ +--+ Организация разработок, внедрения, применения ¦ ¦ ¦ банковских технологий ¦ ¦ L------------------------------------------------------- ———— ¦ ---------------------------------------------------------¬ +--+ Модернизация аппаратно-программно-информационного ¦ ¦ ¦ обеспечения ¦ ¦ L------------------------------------------------------- ———— ¦ ---------------------------------------------------------¬ +--+Контроль над осуществлением банковских операций и сделок¦ ¦ L------------------------------------------------------- ———— ¦ ---------------------------------------------------------¬ +--+ Обеспечение информационной безопасности, защиты ¦ ¦ ¦ операций и данных ¦ ¦ L------------------------------------------------------- ———— ¦ ---------------------------------------------------------¬ L--+ Осуществление внутреннего контроля и аудита ¦ ¦ (внутренний/внешний) ¦ L------------------------------------------------------- ————

Рисунок. Содержание адаптации банковской деятельности

к внедрению ДБО и основные внутрибанковские процессы

Таким образом, первым и наиболее важным процессом, который целесообразно организовать при принятии решения о переходе к тому или иному виду ДБО, можно считать изучение формирования будущего информационного контура банковской деятельности (ИКБД) и специфических особенностей его функционирования. В число особенностей такого рода входят многие вопросы, начиная с надежности разнообразного аппаратно-программного обеспечения и кончая известной анонимностью агентов ДБО (причем взаимной). К сожалению, принципиальное значение при этом приобретают многие технические аспекты, известные, как правило, только специалистам. К тому же такой контур неизбежно включает системы различных провайдеров кредитной организации, что еще более усложняет задачу описанного проактивного анализа.

По состоянию на сегодняшний день технологии дистанционного информационного взаимодействия уже достаточно многочисленны, в их число входят системы, построенные на разных технологиях и протоколах, разного уровня сложности и разных сетевых архитектур. Поэтому и проактивный анализ может охватывать: внутрибанковские локальные и (или) зональные вычислительные сети (соответственно ЛВС и ЗВС) - особенно в случае многофилиальных банков, виртуальные частные сети <3>, технологии мобильного и беспроводного доступа к распределенным компьютерным системам (WAP, Wi-Fi <4> и т.п.), организацию так называемых демилитаризованных зон в информационных сечениях между внутрибанковскими автоматизированными системами и внешним киберпространством, комплексы провайдеров кредитных организаций (Интернет, связи и др.), средства идентификации, аутентификации и верификации для клиентов, а также криптозащиты информации, циркулирующей в сетях связи, и т.д. Круг подлежащих изучению вопросов достаточно обширен, и вопросы эти - не из самых простых, тем более что их решение требует в общем случае квалифицированного контроля (как необходимого компонента процесса ППР). При этом контроль предполагается, во-первых, полноценный (обеспечивающий достаточную для принятия оперативных решений информативность); во-вторых, адекватный масштабу и сложности деятельности кредитной организации; в-третьих, своевременный в плане возможного реагирования на предполагаемые события.

     
   ————————————————————————————————
   

<3> VPN - Virtual Private Network.

<4> WAP - Wireless Application Protocol (протокол беспроводной связи), Wi-Fi - Wireless Fidelity (одна из разновидностей беспроводных ЛВС).

Конкретизируя рассмотрение проблематики ДБО с позиций процессного подхода, уместно начать с упоминавшегося в первой ее части выхода кредитной организации в сеть, то есть с организации своего представительства в ней. Без этого в современных конкурентных условиях не обойтись, можно даже сказать, что в настоящее время отсутствие у кредитной организации web-сайтов считается дурным тоном. Такое представительство (в виде одного или нескольких web-сайтов), как свидетельствуют результаты статистического анализа данных регламентной банковской отчетности кредитных организаций <5>, обычно проходит путь из трех этапов: от информационного (маркетингового) web-сайта через коммуникационный к операционному (транзакционному). Причем в настоящее время многие кредитные организации используют несколько web-сайтов, которые могут иметь разное функциональное назначение и располагаться как на вычислительных средствах самих кредитных организаций, так и на средствах различных провайдеров.

     
   ————————————————————————————————
   

<5> Представляемой в соответствии с Указанием Банка России от 01.03.2004 N 1390-У "О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий".

Возможные риски и соответствующие шаги для их контроля

Очевидно, что сам выход кредитной организации в сеть делает, с точки зрения автора, крайне желательной как адаптацию уже существующих в ней процессов, так и организацию новых процессов и процедур. Эти изменения затрагивают и органы управления кредитной организации, и целый ряд ее служб - как минимум подразделения информатизации (автоматизации), информационной безопасности, внутреннего контроля (ВК), финансового мониторинга (ФМ), юридическое и сервис-центр. При этом для каждого из них как адаптируемые, так и вновь вводимые процессы будут иметь содержательные отличия.

Уже одно только использование web-сайта предполагает понимание, с одной стороны, тех обязательств, которые принимает на себя кредитная организация перед внешним миром, в первую очередь своими реальными и потенциальными клиентами, с другой стороны, того, какие именно условия необходимы для выполнения этих обязательств. Обеспечение того и другого как раз и представляет собой определенный внутрибанковский процесс. Содержание такого web-сайта, естественно, целесообразно поддерживать актуальным (включая обеспечение целостности информации), в противном случае кредитная организация может оказаться подвержена действию ряда факторов риска (которые, естественно, учитываются при осуществлении риск-фокусированного надзора). Следовательно, в оптимальном варианте, реализации которого и должен способствовать процессный подход, в кредитной организации назначаются ответственные должностные лица за разработку (или организацию в случае заказа третьей стороне на выполнение этой работы), ведение, сопровождение, модернизацию сайта, наконец, за контроль его функционирования и содержания. Персонал (крайне нежелательно, чтобы это был только один специалист) целесообразно обеспечить такими документами, как политика кредитной организации в сети <6>, состав информационного обеспечения web-сайта, должностные инструкции, порядок информационного взаимодействия (в управленческой иерархии), план действий на случай чрезвычайных обстоятельств. Это, по представлениям автора, минимальный набор. Однако, если обратиться, например, к рекомендациям органов банковского регулирования и надзора США, то вот что говорится, к примеру, в одном из межведомственных руководств о дополнительных факторах рисков, связанных с web-сайтами <7>:

"Практически каждый web-сайт содержит web-связи. Web-связь <8> - это слово, выражение или изображение на web-странице, связанное с таким кодом, который при простом щелчке по нему мышью переведет зрителя на другую часть данного web-сайта или на совершенно другой web-сайт. Несмотря на то что web-связи представляют собой удобное и общепринятое средство в конструкции web-сайта, их использование может быть связано с определенными рисками. В общем случае основной риск, обусловленный таким связыванием, заключается в том, что посетители (web-сайта) могут не понять, чей web-сайт они просматривают и кто отвечает за информацию, продукты и услуги, доступ к которым обеспечивается через этот web-сайт". Поэтому целью руководства является "содействие финансовым учреждениям в выявлении тех рисков, которые обусловлены использованием ими web-связей на своих web-сайтах, и предложение <...> методов управления рисками, которые этим учреждениям следует рассмотреть для того, чтобы снижать такие риски".

     
   ————————————————————————————————
   

<6> Речь идет, разумеется, не о названии внутрибанковских документов, а об их содержании.

<7> WEBLINKING: IDENTIFYING RISKS AND RISK MANAGEMENT TECHNIQUES. Interagency Guidance, April 23, 2003, Federal Deposit Insurance Corporation, National Credit Union Administration, Office of Thrift Supervision, Office of the Comptroller of the Currency (руководство разработано четырьмя из пяти органов банковского регулирования и надзора США, исключая Федеральную резервную систему).

<8> Под этим, как правило, в русскоязычных текстах понимается гиперссылка, но в данном случае сохранен буквальный перевод англоязычного термина, употребляемого в цитируемых материалах.

При этом в руководстве делается специальная оговорка о том, что оно "применимо в отношении связей с третьими сторонами, которые предлагают продукты, услуги или информацию непосредственно клиентам финансовых учреждений". В то же время "оно неприменимо в отношении операционных связей с web-сайта финансового учреждения со сторонним провайдером услуг, который обеспечивает обслуживание от имени самого финансового учреждения, например связь с провайдером услуг интернет-банкинга данного учреждения". Это не означает, что такие связи не подлежат анализу и контролю, просто то и другое осуществляется с несколько иных позиций, относящихся в основном к функционированию самой кредитной организации.

Возможно, столь глубокое проникновение в проблематику "web-обусловленных" источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология web-порталов, предлагаемый подход уместно принять к сведению. В рассматриваемом руководстве подчеркивается, что многие из web-сайтов кредитных организаций содержат web-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум поэтому руководству таких организаций следует знать о возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется именно органами управления кредитной организации.

Там же указывается, что, когда финансовые учреждения пользуются web-связями для соединения с web-сайтами третьих сторон, получающаяся ассоциация называется "web-отношение". Финансовые учреждения, имеющие web-отношения, подвергаются нескольким рискам, связанным с использованием этой технологии. Наиболее значительными рисками являются репутационный риск (риск потери деловой репутации) и риск несоответствия <9>. Эти два риска специально подчеркиваются в цитируемом руководстве, но при этом отмечается, что конкретный состав банковских рисков, повышение которых возможно в рассматриваемой ситуации, зависит от содержания деятельности кредитной организации в сети в целом. Отмеченные риски можно кратко прокомментировать следующим образом.

     
   ————————————————————————————————
   

<9> В упоминавшемся в первой части статьи Указании оперативного характера Банка России от 23.06.2004 N 70-Т "О типичных банковских рисках" он соответствует правовому риску.

В общем случае репутационный риск возникает тогда, когда связанная с кредитной организацией через web-сайт третья сторона может неблагоприятно повлиять на клиентуру этой организации и далее на само финансовое учреждение, поскольку клиенты в случае возникновения проблем могут возложить вину на него (а не на контрагента). Причем у клиентуры может сложиться ложное впечатление о том, что эта организация предоставляет тот или иной продукт или вид обслуживания или что она, как сказано, "рекомендует конкретного стороннего провайдера или одобряет его деятельность" <10>.

     
   ————————————————————————————————
   

<10> Подобные рассуждения вызывают в памяти автора рефрен из известной новеллы М. Задорнова: "Ну, тупы-ые!". Тем не менее они, возможно, вполне жизненны.

Правовой риск возникает в том случае, когда связанная третья сторона действует таким образом, который не соответствует требованиям какого-либо регулирующего органа. К примеру, такой риск может возникнуть тогда, когда связь с конкретной третьей стороной обусловливает или влияет на правовые обязательства кредитной организации. По большей же части факторы риска в данном случае связаны с возможными несоответствиями требованиям законодательства, касающегося защиты прав потребителей, рекламы и т.п. Это вообще типично для зарубежных подходов, основанных на защите интересов потребителей в целом, независимо от банковской деятельности.

В совокупности считается, что связь с web-сайта кредитной организации с web-сайтом третьей стороны, который дает клиенту только информацию, обычно не приводит к заметной подверженности риску, если информация эта относительно безобидна (как, например, прогноз погоды). Напротив, если связанная третья сторона предоставляет информацию или рекомендации, относящиеся к финансовому планированию, инвестициям или другим более важным темам, риск может быть больше. Связи же с web-сайтами, которые позволяют клиенту взаимодействовать с третьей стороной, как, допустим, "запрашивающей конфиденциальную информацию от пользователя [клиента], так и позволяющей пользователю приобретать продукт или услугу, могут обусловить подверженность застрахованного финансового учреждения большему риску, чем те, которые не обладают такими свойствами".

Постулируется также, что органам управления кредитных организаций следует эффективно планировать, реализовать и контролировать web-отношения своих финансовых учреждений. Под это подпадают ситуации, в которых такая организация поручает третьей стороне (провайдеру) создание, ведение и сопровождение своего web-сайта. При этом могут использоваться несколько разных методов управления рисками, которым подвергается кредитная организация и которые обусловлены наличием web-отношений. Их рассмотрение выходит за рамки настоящей статьи, однако следует отметить два аспекта. Во-первых, такое управление в любом случае должно иметь место. Во-вторых, следует использовать такие методы управления конкретными рисками, которые будут относиться к конкретной связи и соответствовать этим самым рискам. Отсюда следует, что органам управления кредитной организации целесообразно иметь представление как о способах установления web-связей, так и об опасностях, которым они подвержены (например, в случае их подмены хакером), и, наконец, о тех источниках риска, которые могут возникнуть опосредованно. Все это предполагает наличие специально организованных процессов: аналитического, управленческого, контрольного.

К сожалению, объем журнальной публикации не позволяет более подробно рассмотреть вопросы информационного и операционного взаимодействия кредитных организаций и их контрагентов или провайдеров через сеть. Следует только отметить, что, по данным упоминавшейся отчетности, в России довольно много филиалов кредитных организаций предлагают клиентам обслуживание через Интернет, тогда как их головные офисы технологии типа интернет-банкинга не используют. В этом случае представляется логичной организация органами управления кредитной организации дополнительных процессов как минимум информационного взаимодействия с такими филиалами и контроля над их деятельностью. Естественно, эти процессы следует подкреплять выделением соответствующего ответственного должностного лица в кредитной организации, обеспеченного, как об этом было сказано выше, всеми необходимыми внутрибанковскими документами, определяющими и описывающими эти процессы. Уже из сказанного здесь становится очевидным, что органам управления кредитной организации при развитии своих представительств в сети неизбежно приходится адаптировать налаженные внутрибанковские процессы управления и контроля, а то и создавать новые, наполняя их соответственно ситуации новыми процедурами и структурными связями.

Очевидно, что функционирование любого web-сайта непосредственно зависит от функциональности того программно-технического обеспечения, на котором он реализован. Если возникают какие-либо неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т.п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее представительствами в сети, зависит от дислокации конкретного сайта.

В том случае, когда "хозяином" web-сайта в полном смысле является сама кредитная организация и необходимые для нормальной работы в сети web-серверы, брандмауэры, прокси-серверы, почтовые серверы и другое оборудование установлены непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, решаются оперативно персоналом самой кредитной организации. Впрочем, здесь многое зависит от того, достаточна ли численность персонала для обслуживания системы электронного банкинга, обладает ли он необходимой квалификацией, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые инструкции имеются в кредитной организации, и доведены ли они до конкретных исполнителей (реально) и т.п.

В случае размещения web-сайта кредитной организации на средствах сторонних организаций (к примеру, интернет-провайдера, компании - разработчика web-сайта и др.) ситуация может измениться радикально. Прежде всего, процесс внедрения ДБО следует начинать с выбора провайдера и определения отношения с ним. Если вернуться к материалам органов банковского регулирования и надзора США, то, скажем, Федеральный совет по проверкам финансовых учреждений <11> рекомендует кредитным организациям внедрение специальных процессов управления компонентами рисков, которые включают выявление, измерение, мониторинг и контроль рисков, связанных с технологическим обслуживанием в рамках аутсорсинга.

     
   ————————————————————————————————
   

<11> Federal Financial Institutions Examination Council (FFIEC), строго говоря, не является органом непосредственно банковского регулирования и надзора, это совет, состоящий из представителей таких органов, который разрабатывает общие методические рекомендации для них.

В его рекомендациях описываются следующие ключевые процессы для учета кредитными организациями таких рисков:

1) оценка риска;

2) выбор провайдера услуг;

3) определение содержания аутсорсинга;

4) проверка контрактов и текущий мониторинг провайдеров услуг.

Следует отметить, что кредитные организации все чаще передают выполнение тех или иных технологических процедур, связанных с обработкой, передачей и хранением банковских данных, сторонним организациям, то есть провайдерам услуг, и, в свою очередь, оказываются в той или иной мере зависимыми от этих провайдеров. Зависимости эти могут быть достаточно разнообразными, вследствие чего управление отношениями с провайдерами требует организации специальных внутрибанковских процессов в кредитной организации. Несмотря на то что аутсорсинг <12> может улучшить банковское обслуживание, способствовать контролю над стоимостью и обеспечить техническое содействие, требуемое для поддержания и расширения предлагаемых услуг, он привносит в банковскую деятельность дополнительные компоненты рисков, которые кредитным организациям следует учитывать. Кроме того, возрастает подверженность самих кредитных организаций рискам, компоненты которых связаны с состоянием и деятельностью провайдеров. С аутсорсингом связан целый ряд факторов операционного, правового и репутационного рисков, начиная с отказов оборудования и кончая раскрытием конфиденциальной информации <13>.

     
   ————————————————————————————————
   

<12> От англ. outsourcing - в наиболее общем случае этот термин используется для обозначения стороннего обслуживания какого-либо учреждения, чаще всего употребляется при организации контрактных отношений для компьютерной обработки данных, хранения массивов данных на отчуждаемых носителях информации, предоставления коммуникационных услуг и т.п.

<13> Более подробно вопросы организации отношений с провайдерами и соответствующие бизнес-процессы, необходимые (или целесообразные для) кредитной организации в интересах обеспечения эффективного аутсорсинга, будут рассмотрены в заключительной части статьи.

План действий на случай чрезвычайных обстоятельств

Говоря о возможных проблемах с представительством кредитной организации в сети, необходимо помнить, что любой web-сайт может подвергаться атакам хакеров (разрушение содержимого сайта, внедрение антирекламы, порочащих изображений и ссылок и пр.). Вследствие наличия этих и других негативных факторов кредитной организации необходим план действий на случай чрезвычайных обстоятельств. Такой план в силу множественности негативных факторов неизбежно оказывается комплексным, его составление предполагает если и не всесторонний, то достаточно объемный анализ, который могут провести в кредитной организации совместно подразделения автоматизации (информатизации), информационной безопасности, ВК, ФМ и управления банковскими рисками (если оно выделено в отдельную службу) желательно под руководством представителя совета директоров или правления кредитной организации.

Содержание данного плана может различаться в зависимости от политики кредитной организации относительно представительств в сети и конкретного размещения сайта. Если он расположен на вычислительных средствах разработчика web-сайта, интернет-провайдера или другой сторонней организации, то в первую очередь целесообразно проанализировать сопутствующие риски и представить возможные последствия их реализации (включая, естественно, юридические). В оптимальном варианте оцениваются репутация провайдера, возможно, его финансовая отчетность, аппаратно-программное обеспечение, квалификация персонала, опыт на данном рынке аутсорсинга, обеспечение непрерывности функционирования и т.д. Вся эта информация служит для оптимизации содержания договоров на обслуживание и особенно важна, когда от функционирования провайдера прямо зависит обслуживание клиентов кредитной организации и могут затрагиваться их интересы. В этом случае содержание договоров кредитной организации с провайдером логично было бы коррелировать с содержанием договоров с клиентами, особенно в части распределения ответственности в случае наступления предполагаемых форс-мажорных обстоятельств, а также в части механизмов судебных разбирательств, если вдруг возникнет такая необходимость. Впрочем, если сайт расположен на вычислительных средствах самой кредитной организации, то соответствующий ряд процедур, относящихся к провайдерам и взаимоотношениям с ними, исключается из рассмотрения. Кстати, статистика свидетельствует о том, что лишь немногим более 50 web-сайтов кредитных организаций располагаются непосредственно на их вычислительных средствах (чуть более 35 - на средствах интернет-провайдера, остальные примерно поровну распределены между компаниями - разработчиками сайтов и прочими вариантами).

Отдельного рассмотрения требует и такой вариант ДБО, при котором различные его виды предлагают как головная кредитная организация, так и ее филиалы. В первую очередь, это относится к банковскому обслуживанию через Интернет, то есть к интернет-банкингу. В оптимальном варианте организации этой деятельности предполагается, что вся банковская "субсистема" такой кредитной организации (имея в виду в совокупности ее головной офис, филиалы, отделения, представительства и прочие возможные выделенные подразделения) действует исходя из принятой в ней соответствующей корпоративной политики, в которой помимо организационно-технологических аспектов предусмотрен групповой подход, который в последнее время активно пропагандируется Базельским комитетом по банковскому надзору (БКБН) <14>. Суть его заключается в том, что руководству кредитной организации следует обеспечить единство политики и практики во всей субсистеме кредитной организации, причем это единообразие организуется и существует как постоянный процесс, поддержанный соответствующими документированными решениями, порядками, инструкциями и прочими внутренними документами кредитной организации. Иными словами, ведение и сопровождение web-сайта головным офисом кредитной организации и, например, любым ее филиалом не должно иметь принципиальных различий и характеризуется пруденциальным подходом. Это относится и к определению и модернизации информационного содержания web-сайта (контента), и к обеспечению его функциональной доступности, и к контролю над целостностью контента, и к резервированию функциональных возможностей и т.д. <15>.

     
   ————————————————————————————————
   

<14> Прежде всего, в части соответствия принципу "знай своего клиента", но это не мешает общности подхода и изложения.

<15> Об особенностях применения группового подхода в конкретной ситуации подробнее будет рассказано в продолжении статьи на примере одного из недавно опубликованных документов БКБН.

Как бы то ни было, вне зависимости от расположения и ведения web-сайта, используемого кредитной организацией, ее руководству целесообразно помнить о том, что любое представительство в сети ориентировано на клиентуру, а значит, и управление своим (или используемым, но тогда как минимум - контроль над) представительством в сети логично основывать исходя из концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них, то есть клиент замечает, что "что-то не так" или вообще его ордера по неведомым причинам пропали, а деньги со счетов исчезли в направлениях, им изначально не предполагавшихся. То есть в таким образом организованном процессе забота об интересах клиента реально ставится "во главу угла".

Вместе с тем было бы нелогично, если бы кредитная организация в заботе об интересах клиентов полностью забывала о своих интересах, тем более в тех ситуациях, в которых ее интересы оказываются в зависимости от провайдеров, начиная с организации web-сайтов, предоставления каналов и услуг связи, а также разработки и сопровождения используемых для ДБО программно-информационных комплексов. Поэтому в содержании договоров с такими провайдерами целесообразно четко определять права и обязанности кредитной организации, в которых учтены прежде всего обязательства перед ее клиентами. Одновременно целесообразно прорабатывать те или иные запасные варианты, в которых предусматриваются дополнительные маршруты информационного взаимодействия с клиентами, способы оповещения их о тех или иных проблемных ситуациях вместе с подтверждением гарантий соблюдения их интересов, объяснением причин и предложениями тех или иных действий, позволяющих указанное взаимодействие продолжить, и т.п. В результате речь идет опять-таки о комплексном процессе, в котором задействованы как инженерно-технические специалисты, так и юристы наряду (возможно) со специалистами по информационной безопасности и ВК (имея в виду систему ВК), а также сервис-центром кредитной организации.

В оптимальном варианте организации ДБО сценарии такого рода затем отражаются (прямо или косвенно) в содержании договоров на такое обслуживание, внутренних порядках кредитной организации и должностных инструкциях ее специалистов, что и представляет собой первый результат (конкретную процедуру) ориентированного на выявление рисков процесса анализа. Тщательность проработки текстов договоров, безусловно, служит на пользу и клиентам кредитной организации, и ей самой, поскольку предусмотреть удается если не все, то большинство проблемных и (или) кризисных ситуаций (угроз), одновременно обезопасив по максимуму все заинтересованные стороны.

В качестве второго результата можно предложить организацию входящей в этот же процесс процедуры оповещения клиентов кредитной организации о тех неприятностях, с которыми им, возможно, придется встретиться в условиях ДБО. Информация такого рода может "вывешиваться" в офисах и представительствах кредитной организации, публиковаться в специализированных банковских журналах, на web-сайтах кредитных организаций и т.п. Например, разъяснения относительно уловок фишеров <16>, способов хищений при использовании клиентами банкоматов, гарантий безопасности при использовании той или иной технологии электронного банкинга, как и наличие демоверсий соответствующего программного обеспечения, и т.п. наверняка способствовали бы улучшению имиджа кредитной организации и популярности ее среди реальных и потенциальных клиентов. Как следствие, и с позиций текущего (или последующего) риск-фокусированного надзора наличие в кредитной организации такого "сценарного" процесса (и соответствующих "сценаристов"), сформированного кредитной организацией по направлению электронного банкинга, становится весьма перспективным с точки зрения анализа содержания банковской деятельности и подготовки мотивированных заключений относительно нее.

     
   ————————————————————————————————
   

<16> От понятия phishing - технология введения в заблуждение клиентов кредитных организаций, в которой используются специфические ложные сообщения электронной почты, имитирующие запрос от кредитной организации, и, возможно, своего рода "web-сайты - муляжи", разработанные таким образом, чтобы как минимум выманить личные регистрационные данные клиентов, с помощью которых осуществляется доступ к их счетам и финансовым средствам, а в ряде случаев - и для атак типа "посредник" с перехватом трафика клиента при его перемещении по web-сайтам. К сожалению, исследования, проведенные Банком России за последние три года, показали, что нарисованная автором картина благополучного выхода кредитной организации в сеть и представительства в ней далека от реальной. Впрочем, и процессный подход еще не завоевал в отечественном банковском секторе такого количества сторонников, которое позволило бы сообщить о том, что "процессный подход шагает по стране". Однако этот подход, по мнению автора, действительно позволяет оптимизировать банковскую деятельность, рассматриваемую как совокупность именно бизнес-процессов, то есть всю деловую активность, проявляемую кредитной организацией в данном случае как дистанционным финансовым посредником, а не просто как совокупность тех или иных "банковских операций и других сделок". Одним из его достоинств при этом (хотя, стоит отметить справедливости ради, не только именно его, а и стародавнего сетевого планирования) является возможность интегрировать в единых рамках интересы клиентов кредитной организации, ее самой, а также связь между ними и теми внутрибанковскими процессами, наличие которых представляется целесообразным в современных условиях банковской деятельности. Экономические выгоды от применения современных технологий ДБО могут, как говорят, увеличиться от применения процессного подхода. В первую очередь, это обычно происходит за счет оптимизации внутрибанковских бизнес-процессов и снижения рисков, сопутствующих современной высокотехнологичной банковской деятельности. (Продолжение см. "Управление в кредитной организации", 2007, N 2) Л.В.Лямин Начальник отдела интернет-банкинга Управления методологии рисков внутрибанковских систем Департамента банковского регулирования и надзора Банка России Подписано в печать 10.01.2007 ————