Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Что касается особенностей применения аутсорсинга в целом и организации отношений с провайдерами, то одним из наиболее важных вопросов становится организация взаимодействия с теми провайдерами, с которыми ранее никакие отношения кредитными организациями не поддерживались в силу отсутствия у них необходимости в такого рода услугах. Тем не менее внедряемые в кредитной организации бизнес-процессы, связанные с ДБО и реализующие отношения в рамках соглашений на аутсорсинг, также логично было бы рассматривать с позиций внутрибанковского «метапроцесса», поскольку, во-первых, ключевые требования к ним аналогичны, — все они связаны с выполнением ею обязательств перед клиентами, во-вторых, каждая новая ТЭБ может потребовать привлечения дополнительных сторонних организаций к формированию нового или модернизации уже используемого ИКБД в обеспечение предоставления клиентам ДБО новых сервисов.

При определении содержания договоров с такими провайдерами целесообразно четко определять права и обязанности сторон исходя прежде всего из состава обязательств перед клиентами кредитной организации. Одновременно желательно прорабатывать те или иные запасные варианты (в зависимости от вида аутсорсинга), в которых предусматриваются дополнительные маршруты или способы информационного взаимодействия с клиентами, способы оповещения их о тех или иных проблемных ситуациях вместе с подтверждением гарантий соблюдения их интересов, объяснением причин возникновения таких ситуаций и предложениями конкретных действий, позволяющих это взаимодействие продолжить и т. п. Необходимо упомянуть также возможную зависимость от поставщиков АПО систем электронного банкинга (вендоров), хотя такого рода зависимости обычно аутсорсингом не считаются, но, с точки зрения автора, если компания-разработчик комплекса ДБО по каким-либо причинам уйдет с этого рынка, то СЭБ кредитной организации останется без сопровождения, а вместе с ним исчезнут и возможности для ее развития и расширения соответствующего направления банковской деятельности. Мало того, при этом не исключена и реализация компонентов стратегического риска, поскольку если СЭБ приобретена «под ключ» или заказана, то с течением времени может возникнуть потребность замены этой АС (в силу ее устаревания), а значит, возникнут расходы на вывод ее из эксплуатации и на приобретение другой СЭБ (те же финансовые потери).

Помимо изложенного, если говорить о возможных проблемах с представительствами кредитной организации в Сети, без которых уже не обойтись, необходимо помнить, что любой web-сайт может стать объектом атак хакеров, так что его содержание в общем случае уязвимо, причем, возможно, далеко неблагоприятным для самой организации образом (например, разрушение содержимого сайта, внедрение антирекламы, порочащих изображений, ссылок, баннеров и пр.). Эта проблематика рассматривается в главе 6, здесь же уместно отметить, что вследствие наличия этих и других негативных факторов кредитной организации оказывается необходим и соответствующий компонент плана действий в чрезвычайных обстоятельствах (параграф 5.9). Такой компонент в силу множественности негативных факторов и источников компонентов операционного, правового и репутационного рисков неизбежно также оказывается комплексным , тем самым его составление предполагает проведение если и не всестороннего, то достаточно объемного анализа, который могут провести совместно подразделения автоматизации (информатизации), ОИБ, ФМ и УБР (если оно выделено в отдельную службу), желательно под руководством представителя совета директоров или исполнительных органов кредитной организации (ввиду значимости интернет-сегмента для любой организации в настоящее время).

Содержание упомянутого раздела плана действий в чрезвычайных обстоятельствах может быть различным в зависимости от политики кредитной организации относительно использования собственных и сторонних представительств в Сети, назначения и конкретного размещения web-сайтов. Если web-сайт располагается на вычислительных «мощностях» компании-разработчика, интернет-провайдера или другой сторонней организации, то целесообразно еще до начала его практического использования (а лучше — проектирования) проанализировать сопутствующие компоненты банковских рисков и представить возможные последствия их реализации (включая, естественно, юридические). При этом, как и в других случаях аутсорсинга, в оптимальном варианте изучается репутация провайдера, возможно, его финансовая отчетность, АПО (с оценкой его надежности), квалификация персонала, опыт работы на данном рынке аутсорсинга и репутация, состояние ОИБ и т. д. Вся эта информация служит для оптимизации содержания контрактов на обслуживание и становится особенно важна в тех случаях, когда от функционирования провайдера прямо зависит качество обслуживания клиентов кредитной организации и могут затрагиваться их интересы. В такой ситуации содержание контрактов с провайдером логично было бы коррелировать с содержанием договоров с клиентами ДБО, особенно в части распределения ответственности в случае наступления предполагаемых чрезвычайных обстоятельств, а также в части механизмов возможных сопутствующих судебных разбирательств. Впрочем, если web-сайт располагается на вычислительных средствах самой кредитной организации, то соответствующий ряд процедур, относящихся к провайдерам и взаимоотношениям с ними, исключается из рассмотрения состава источников компонентов банковских рисков, хотя в рассматриваемом плане он все равно остается ввиду наличия угроз сетевых атак на информационно-процессинговые ресурсы самой организации.

Наконец, завершая этот параграф, необходимо упомянуть использование кредитными организациями «оффшоринга», что требует регулярного мониторинга, помимо рассматривавшихся банковских рисков, еще и странового риска (почему он и упоминался в главе 2). Организация, прибегающая к такому аутсорсингу, вынуждена вести мониторинг процессов, происходящих за рубежом, — политических, экономических, социальных, правовых — в стране дислокации провайдера услуг. Ей в соответствии с рекомендациями БКБН [182] Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, October 2002. следует также разработать план действий в случае прекращения выполнения своих обязательств таким провайдером (в том числе неожиданного) и «стратегию выхода» из контрактных отношений. В оптимальном варианте на крайний случай должны предусматриваться мероприятия по экстренному «возврату» выполнения необходимых функций на территорию своей страны, что предполагает наличие либо резервных мощностей у самой кредитной организации, либо резервной договоренности с аналогичным провайдером, предпочтительно резидентом.