Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
Что касается технологий электронного банкинга, то при применении процессного подхода прежде всего следует выделить именно их специфику, которая делает желательным применение именно процессного подхода прежде всего потому, что сама она является причиной появления в содержании банковской деятельности новых процессов, ранее ей не свойственных, о чем крайне полезно иметь представление как лицам, принимающим решения относительно инноваций в банковской практике, так и тем, кто эти решения воплощает в жизнь[69]. Любые же новые процессы, а тем более их отсутствие (если необходимость в них не осознается) могут привести к непредсказуемым результатам, которые способны в итоге обусловить неожиданную реализацию компонентов банковских рисков, что и происходит в тех случаях, когда внедрение новых компьютерных технологий типа электронного банкинга не приводит к модернизации внутрибанковских процессов. Основной причиной этого становится то, что руководство и персонал кредитной организации работают в новых условиях банковской деятельности «по старинке», а контроль над этой деятельностью становится заведомо неэффективным.
По состоянию на сегодняшний день технологии дистанционного информационного взаимодействия между участниками банковской деятельности уже достаточно многочисленны — в их число входят системы электронного банкинга, построенные на разных технологиях и протоколах, разных сетевых архитектурах и разного уровня сложности. Поэтому и «проактивный» анализ ИКБД может охватывать внутрибанковские локальные и/или зональные вычислительные сети (особенно в случае многофилиальных банков), виртуальные частные сети, схемы мобильного и беспроводного доступа к распределенным компьютерным системам, организацию так называемых «демилитаризованных зон» (DMZ) в информационных сечениях между банковскими автоматизированными системами и внешним «киберпространством», комплексы провайдеров кредитных организаций (Интернет, связи, аппаратное и программное обеспечение и др.), средства идентификации, аутентификации и верификации для клиентов и персонала, а также криптозащиты информационного обмена и т. д. Круг подлежащих изучению вопросов, как видно, достаточно обширен, и вопросы эти не из самых простых, тем более что их решение требует в общем случае квалифицированного контроля (как вообще необходимого компонента процесса ППР). При этом такой контроль предполагается, во-первых, полноценным (обеспечивающим информативность, достаточную для принятия оперативных решений), во-вторых, адекватным масштабу и сложности деятельности кредитной организации, в-третьих, своевременным в плане возможного реагирования на предполагаемые негативные события (включая также форс-мажорные ситуации).
Важным аспектом внедрения кредитной организацией, использования и развития процессного подхода в условиях применения ТЭБ является полный и адекватный (потребностям и ее обязательствам перед клиентами) учет состава ИКБД. К сожалению, практика свидетельствует о том, что руководители кредитной организации зачастую не задумываются не только о возможном влиянии его компонентов на их деятельность, но и об указанном контуре как таковом. Ситуация реально выглядит так, как будто за пределами организации, использующей ТЭБ, этого контура не существует. На самом деле виртуальность этого контура может оказать вполне реальное влияние на ее функционирование, особенно в тех случаях, когда требуется гарантировать невозможность так называемого «отказа от операции»[70] (ситуация, кстати, типично проблематичная для таких вариантов электронного банкинга как интернет-банкинг или банкоматное и другое карточное обслуживание), или существует опасность незаметного вовлечения этой организации в противоправную деятельность. В последнем случае ее руководству целесообразно задуматься о том, каким образом ее специалисты могли бы восстановить маршрут прохождения и источник ордеров, т. е. подозрительных клиентов, а соответствующий ИКБД в случае, к примеру, интернет-банкинга как раз и отличается тем, что сделать это без специального технологического и технического оснащения (заранее, конечно, предусмотренного в соответствующей СЭБ) практически невозможно.
Таким образом, первой и наиболее важной процедурой, которую целесообразно организовать при принятии решения о переходе к тому или иному виду ДБО, можно считать изучение формирования будущего ИКБД и специфических особенностей функционирования такого контура. В число этих особенностей входят многие подлежащие рассмотрению и решению вопросы, начиная с надежности разнообразного аппаратно-программного обеспечения, продолжая известной взаимной анонимностью агентов ДБО и заканчивая формированием запасных вариантов (маршрутов) ДБО, включая многочисленные организационно-технические аспекты поддержки его функционирования (с учетом систем различных провайдеров), что усложняет задачу «проактивного» анализа. Отсутствие соответствующих технологических схем не позволит кредитной организации перевести внутрибанковские процессы выше уровня 2, а значит, уровни компонентов банковских рисков фактически останутся неприемлемо высокими, но «скрытыми» от УБР.
Не менее важным аспектом процессного подхода является обеспечение надежности функционирования кредитных организаций в части их отношений с провайдерами. К сожалению, пока еще нельзя сказать, что руководители этих организаций полностью осознают сами факты зависимости их деловой активности от провайдеров и, как следствие, зависимости от них интересов клиентов ДБО. Проблема в основном заключается в том, что специфика аутсорсинга как такового, в чем бы он ни заключался (будь это связь, процессинг, клиринг, хранение резервных массивов банковских данных и т. д.), не осознается полностью ни самими кредитными организациями, ни их клиентами[71]. Вследствие этого кредитная организация зачастую практически не отвечает перед клиентом за проблемы, которые в условиях ДБО могут оказаться обусловленными ее провайдером. В свою очередь клиенты, как правило, не задумываются о том, с какими претензиями они придут в эту организацию в том случае, если из-за неполадок в компьютерных системах провайдеров, предоставляемых ими каналах (линиях) связи и т. п., пропадут или будут искажены либо скомпрометированы их данные (содержание ордеров или результаты операций). В то же время сам факт появления в ИКБД систем провайдеров предполагает наличие особого внимания к содержанию договоров между кредитной организацией и провайдером и между нею и клиентом ДБО с таким распределением ответственности, которое как минимум гарантировало бы отсутствие ущерба интересам клиента в случае, к примеру, возникновения форсмажорных обстоятельств или минимизировало его. Наличие такого внимания предполагает и организацию соответствующего обеспечивающего бизнес-процесса в кредитной организации (в котором участвует и клиентура ДБО со свойственными ей компонентами стратегического, правового и репутационного рисков).
Мало того, в последнее время внимание зарубежных органов банковского регулирования и надзора привлекла проблема так называемого «офшоринга». «Говоря по-русски», офшоринг — это трансграничный аутсорсинг процессинга. Речь идет о ситуации, когда провайдер, осуществляющий, допустим, обработку и хранение банковских данных для кредитной организации (т. е. реализующий соответствующие функции, переданные на аутсорсинг), не является резидентом[72]. БКБН в этой связи считает, что «органы банковского надзора страны резидента должны быть уверены в том, что данный банк в самом деле имеет возможности доступа к критично важным для него данным или информации и контролирует их, что необходимо для адекватного управления деятельностью в области электронного банкинга». Кредитная организация в свою очередь должна предоставить контролирующему органу необходимые гарантии того, что эта ситуация реально имеет место, и их подтверждение (обеспечение).
На самом деле в ситуации трансграничного банковского обслуживания или аутсорсинга процедур (как компонентов процессов) значительно больше: часть из них связана с обеспечением «гарантированного» доверия самой кредитной организации к провайдеру, надежности и защищенности его автоматизированных систем, обеспечению им информационной безопасности, в том числе защищенности от возможных внешних атак на кредитную организацию через распределенную компьютерную систему провайдера и ИКБД, в который он входит. Другая часть связана с доверием со стороны клиента к такой организации, которая использует аутсорсинг процессинга, к тому же трансграничный. Естественно, обеспечение конфиденциальности сведений о банковских данных, принадлежащих на самом деле клиенту, и об операциях с этими данными должно, по идее, гарантироваться обслуживающей его кредитной организацией, которая в свою очередь сама должна иметь необходимые гарантии, к тому же с учетом требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных»[73]. А для этого службы ИТ, внутреннего контроля и обеспечения информационной безопасности кредитной организации (как минимум) должны иметь возможности контролировать ситуацию у провайдеров, обеспечивая тем самым защиту интересов кредитной организации и опосредованно ее клиентов. Такие требования характерны для банковского законодательства ряда стран, к примеру Германии, но в российских условиях правовые основания в отсутствие полноценного регулирования деятельности провайдеров кредитных организаций остаются сомнительными.