Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

В результате при обсуждении пруденциальной организации взаимодействия с провайдерами речь должна идти о комплексе процедур, т. е. о процессе , в котором могут быть задействованы и операционные подразделения кредитной организации, и ее инженерно-технические специалисты, и юристы, наряду (возможно) со специалистами по ОИБ, ФМ и ВК (имея в виду систему ВК), а также сервис-центр. Очевидно, что формирование указанного процесса и его циклическая инициация по мере внедрения новых банковских информационных технологий является прерогативой высшего руководства или исполнительных органов кредитной организации, что целесообразно «закрепить» в ее внутренних документах. Логичным следствием этого должно являться распределение соответствующей ответственности и обязанностей (ролевых функций), подконтрольности и подотчетности между структурными подразделениями организации с доведением действия этой компоненты адаптации документарного обеспечения ДБО в кредитной организации (параграф 5.1) до должностных инструкций ответственных исполнителей в этих ее подразделениях и дополнения содержания процесса ВК в ней. Все это позволит снизить уровни компонентов банковских рисков, ассоциируемых с наличием зависимости надежности ДБО от провайдеров.

Web-отношения возникают у кредитной организации фактически уже при выходе ее в Сеть, с начала использования ею какого-либо web-представительства. Функционирование web-сайта определяется преимущественно тем АПО, на котором он реализован. Если возникают какие-то неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т. п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее web-представительствами, зависит от дислокации конкретного сайта и условий его функционирования (в том числе документально зафиксированных).

В том случае, когда «хозяином» web-сайта в полном смысле является сама организация и необходимые для нормальной работы в Сети web-сервера, брандмауэры, прокси-сервера, почтовые сервера и другое оборудование установлено непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, оперативно решаются ее же персоналом. Впрочем, здесь многое зависит от того, достаточен ли этот персонал для обслуживания СЭБ, имеет ли он необходимую квалификацию, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые положения имеются в должностных инструкциях и планах действий на случай чрезвычайных обстоятельств, доведены ли они до конкретных исполнителей (реально) и т. п.

В случае размещения web-сайта кредитной организации на средствах сторонних организаций (интернет-провайдера, компании-разработчика web-сайта и др.) ситуация может измениться радикально. Прежде всего процесс внедрения ДБО следует начинать с выбора провайдера и определения отношения с ним. Если вернуться к материалам органов банковского регулирования и надзора США, то, скажем, FFIEC рекомендует кредитным организациям внедрение специальных процессов управления компонентами рисков, которые включают выявление, измерение, мониторинг и контроль рисков, связанных с технологическим обслуживанием в рамках аутсорсинга. В его рекомендациях описываются следующие 4 ключевых процесса для учета кредитными организациями таких рисков: «1) оценка риска, 2) выбор провайдера услуг, 3) определение содержания аутсорсинга и 4) проверка контрактов и текущий мониторинг провайдеров услуг». В данной книге это компоненты процесса взаимодействия с провайдерами, рассмотренного в главе 5.

Отдельного рассмотрения требует такой вариант ДБО, при котором различные его виды предлагают как головной офис кредитной организации, так и ее филиалы (в первую очередь это относится к интернет-банкингу). В оптимальном варианте этой деятельности предполагается, что вся банковская «субсистема» такой кредитной организации (имея в виду в совокупности ее головной офис, филиалы, отделения, представительства и прочие возможно выделенные подразделения) действует исходя из принятой в ней соответствующей корпоративной политики, в которой помимо организационно-технологических аспектов предусмотрен аналог «группового подхода», описанный БКБН. Проще говоря, ведение и сопровождение web-сайта головным офисом кредитной организации и, например, любым ее филиалом не должны иметь принципиальных различий и характеризоваться пруденциальным подходом. Это относится и к определению и модернизации информационного контента web-сайта, и к обеспечению его функциональной доступности, и к контролю над целостностью контента, и к контролю и резервированию функциональных возможностей, и т. д.

Важно подчеркнуть, что практически все web-отношения образуются и поддерживаются именно в ИКБД и через его посредство. То же самое относится к расширенному в случае ДБО через Интернет периметру информационной безопасности кредитной организации, который «проходит» и через клиентскую зону ответственности, и через программно-технические средства, принадлежащие провайдерам кредитной организации, и через информационные сечения в структурах локальных и зональных вычислительных сетей и т. п.

Содержание web-отношений во многом зависит от того, как создавались web-сайты, используемые кредитной организацией. По мнению автора, такие представительства в Сети в современном мире являются «одним из ее лиц», однако документы, регламентирующие разработку (или подход к ней), ведение, сопровождение и контроль web-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций найти не удается. Понятно, что в этом случае причины отсутствия руководящего банковского внимания к «каким-то там» web-сайтам все те же, но на сегодняшний день уже не одна отечественная кредитная организация столкнулась с направленными в «ее web-адрес» проявлениями «недобросовестной конкуренции».

Как бы то ни было, вне зависимости от расположения и ведения web-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.