Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
Глава 6
Управление web-отношениями кредитной организации
Особые условия требуют особых решений.
Гарри Гаррисон, «Специалист по этике»Web-отношения возникают у кредитной организации фактически уже при выходе ее в Сеть, с начала использования ею какого-либо web-представительства. Функционирование web-сайта определяется преимущественно тем АПО, на котором он реализован. Если возникают какие-то неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т. п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее web-представительствами, зависит от дислокации конкретного сайта и условий его функционирования (в том числе документально зафиксированных).
В том случае, когда «хозяином» web-сайта в полном смысле является сама организация и необходимые для нормальной работы в Сети web-сервера, брандмауэры, прокси-сервера, почтовые сервера и другое оборудование установлено непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, оперативно решаются ее же персоналом. Впрочем, здесь многое зависит от того, достаточен ли этот персонал для обслуживания СЭБ, имеет ли он необходимую квалификацию, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые положения имеются в должностных инструкциях и планах действий на случай чрезвычайных обстоятельств, доведены ли они до конкретных исполнителей (реально) и т. п.
В случае размещения web-сайта кредитной организации на средствах сторонних организаций (интернет-провайдера, компании-разработчика web-сайта и др.) ситуация может измениться радикально. Прежде всего процесс внедрения ДБО следует начинать с выбора провайдера и определения отношения с ним. Если вернуться к материалам органов банковского регулирования и надзора США, то, скажем, FFIEC рекомендует кредитным организациям внедрение специальных процессов управления компонентами рисков, которые включают выявление, измерение, мониторинг и контроль рисков, связанных с технологическим обслуживанием в рамках аутсорсинга. В его рекомендациях описываются следующие 4 ключевых процесса для учета кредитными организациями таких рисков: «1) оценка риска, 2) выбор провайдера услуг, 3) определение содержания аутсорсинга и 4) проверка контрактов и текущий мониторинг провайдеров услуг». В данной книге это компоненты процесса взаимодействия с провайдерами, рассмотренного в главе 5.
Отдельного рассмотрения требует такой вариант ДБО, при котором различные его виды предлагают как головной офис кредитной организации, так и ее филиалы (в первую очередь это относится к интернет-банкингу). В оптимальном варианте этой деятельности предполагается, что вся банковская «субсистема» такой кредитной организации (имея в виду в совокупности ее головной офис, филиалы, отделения, представительства и прочие возможно выделенные подразделения) действует исходя из принятой в ней соответствующей корпоративной политики, в которой помимо организационно-технологических аспектов предусмотрен аналог «группового подхода», описанный БКБН. Проще говоря, ведение и сопровождение web-сайта головным офисом кредитной организации и, например, любым ее филиалом не должны иметь принципиальных различий и характеризоваться пруденциальным подходом. Это относится и к определению и модернизации информационного контента web-сайта, и к обеспечению его функциональной доступности, и к контролю над целостностью контента, и к контролю и резервированию функциональных возможностей, и т. д.
Важно подчеркнуть, что практически все web-отношения образуются и поддерживаются именно в ИКБД и через его посредство. То же самое относится к расширенному в случае ДБО через Интернет периметру информационной безопасности кредитной организации, который «проходит» и через клиентскую зону ответственности, и через программно-технические средства, принадлежащие провайдерам кредитной организации, и через информационные сечения в структурах локальных и зональных вычислительных сетей и т. п.
Содержание web-отношений во многом зависит от того, как создавались web-сайты, используемые кредитной организацией. По мнению автора, такие представительства в Сети в современном мире являются «одним из ее лиц», однако документы, регламентирующие разработку (или подход к ней), ведение, сопровождение и контроль web-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций найти не удается. Понятно, что в этом случае причины отсутствия руководящего банковского внимания к «каким-то там» web-сайтам все те же, но на сегодняшний день уже не одна отечественная кредитная организация столкнулась с направленными в «ее web-адрес» проявлениями «недобросовестной конкуренции».
Как бы то ни было, вне зависимости от расположения и ведения web-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.
Возможно, столь глубокое проникновение в проблематику «web-обусловленных» источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология так называемых «web-порталов», предлагаемый подход уместно принять к сведению. Конечно, многие из web-сайтов кредитных организаций содержат web-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум, руководству таких организаций следует знать о связанных с этими обстоятельствами возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется и определяется именно органами управления кредитной организации. Наибольшее число web-отношений, в которые вступает кредитная организация при «выходе в Сеть», можно классифицировать по трем видам:
взаимодействие с клиентами через посредство web-pecypcoв, обеспечивающих предоставление банковских услуг;
взаимодействие с провайдерами, обеспечивающими кредитную организацию web-ресурсами;
взаимодействие с другими web-ресурсами через посредство гиперссылок (web-связей).
Первый случай характеризуется возможностями прямого проявления влияния «интернет-компонентов» банковских рисков через структуры распределенных компьютерных систем, второй — негативным проявлением наличия как сторонних организаций в ИКБД, так и функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами, третий же представляет собой взаимодействие опосредованное, но, как свидетельствует практика, также связанное с факторами банковских рисков. При этом уровни сопутствующих компонентов таких рисков прямо зависят как от архитектурных сетевых решений, так и от содержания контрактов, определяющих обязательства сторон при осуществлении и обеспечении ДБО.
В части причин возникновения новых и совершенно немотивированных причин нежелательного смещения профиля риска кредитной организации сказанное отражается на всех видах web-отношений. Прежде всего необходимо отметить, что в кредитных организациях, как правило, отсутствуют внутрибанковские документы, содержащие описание распределения ответственности в отношении тех или иных провайдеров по подразделениям. Точно так же, как правило, «по умолчанию» принимается, что вся необходимая кредитной организации работа в части доступа к ресурсам Интернета и использования web-представительств планируется, организуется и реализуется ее подразделением, отвечающим за ИТ «вообще» (информатизацию или автоматизацию). При этом, как следствие, в кредитной организации отсутствует официально утвержденное формальное описание распределения обязанностей и ответственности по видам соответствующих провайдеров. Результатом этого оказывается полная зависимость содержания и качества процесса взаимодействия с провайдерами от менеджеров среднего уровня (развития процесса), а то и от отдельных исполнителей, которые в отсутствие регламентирующих внутрибанковских документов начиная с порядка использования СЭБ действуют в рамках своего понимания этой проблематики — т. е. сути и степени зависимости банковской деятельности от конкретных провайдеров — и собственной квалификации (уровень 2).
