Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
5.10. Организация отношений с провайдерами
Кредитные организации все чаще передают выполнение тех или иных технологических процедур, связанных с обработкой, передачей и хранением банковских данных, сторонним организациям, т. е. провайдерам услуг, вследствие чего оказываются в той или иной мере зависимыми от этих провайдеров, как и клиенты этих организаций. Зависимости, возникающие в ИКБД, могут быть достаточно разнообразными, и по этой причине управление отношениями с провайдерами требует организации специального внутрибанковского процесса (как совокупности процедур, ориентированных на различные сегменты этого контура ДБО). Несмотря на то что аутсорсинг[180] может улучшить банковское обслуживание, способствовать его оптимизации и контролю над стоимостью, а также обеспечить техническое содействие, требуемое для поддержания и расширения предлагаемых услуг, он привносит в банковскую деятельность дополнительные рисковые компоненты, которые целесообразно учитывать кредитным организациям в процессе УБР. Кроме того, возрастает подверженность самих кредитных организаций банковским рискам, компоненты которых связаны с состоянием и характеристиками деятельности провайдеров (поскольку зависимость означает уязвимость) в части источников компонентов операционного, правового и репутационного рисков, начиная с отказов оборудования этих организаций, продолжая раскрытием конфиденциальной информации, сетевыми атаками и заканчивая визитом налоговой инспекции[181].
Что касается особенностей применения аутсорсинга в целом и организации отношений с провайдерами, то одним из наиболее важных вопросов становится организация взаимодействия с теми провайдерами, с которыми ранее никакие отношения кредитными организациями не поддерживались в силу отсутствия у них необходимости в такого рода услугах. Тем не менее внедряемые в кредитной организации бизнес-процессы, связанные с ДБО и реализующие отношения в рамках соглашений на аутсорсинг, также логично было бы рассматривать с позиций внутрибанковского «метапроцесса», поскольку, во-первых, ключевые требования к ним аналогичны, — все они связаны с выполнением ею обязательств перед клиентами, во-вторых, каждая новая ТЭБ может потребовать привлечения дополнительных сторонних организаций к формированию нового или модернизации уже используемого ИКБД в обеспечение предоставления клиентам ДБО новых сервисов.
При определении содержания договоров с такими провайдерами целесообразно четко определять права и обязанности сторон исходя прежде всего из состава обязательств перед клиентами кредитной организации. Одновременно желательно прорабатывать те или иные запасные варианты (в зависимости от вида аутсорсинга), в которых предусматриваются дополнительные маршруты или способы информационного взаимодействия с клиентами, способы оповещения их о тех или иных проблемных ситуациях вместе с подтверждением гарантий соблюдения их интересов, объяснением причин возникновения таких ситуаций и предложениями конкретных действий, позволяющих это взаимодействие продолжить и т. п. Необходимо упомянуть также возможную зависимость от поставщиков АПО систем электронного банкинга (вендоров), хотя такого рода зависимости обычно аутсорсингом не считаются, но, с точки зрения автора, если компания-разработчик комплекса ДБО по каким-либо причинам уйдет с этого рынка, то СЭБ кредитной организации останется без сопровождения, а вместе с ним исчезнут и возможности для ее развития и расширения соответствующего направления банковской деятельности. Мало того, при этом не исключена и реализация компонентов стратегического риска, поскольку если СЭБ приобретена «под ключ» или заказана, то с течением времени может возникнуть потребность замены этой АС (в силу ее устаревания), а значит, возникнут расходы на вывод ее из эксплуатации и на приобретение другой СЭБ (те же финансовые потери).
Помимо изложенного, если говорить о возможных проблемах с представительствами кредитной организации в Сети, без которых уже не обойтись, необходимо помнить, что любой web-сайт может стать объектом атак хакеров, так что его содержание в общем случае уязвимо, причем, возможно, далеко неблагоприятным для самой организации образом (например, разрушение содержимого сайта, внедрение антирекламы, порочащих изображений, ссылок, баннеров и пр.). Эта проблематика рассматривается в главе 6, здесь же уместно отметить, что вследствие наличия этих и других негативных факторов кредитной организации оказывается необходим и соответствующий компонент плана действий в чрезвычайных обстоятельствах (параграф 5.9). Такой компонент в силу множественности негативных факторов и источников компонентов операционного, правового и репутационного рисков неизбежно также оказывается комплексным, тем самым его составление предполагает проведение если и не всестороннего, то достаточно объемного анализа, который могут провести совместно подразделения автоматизации (информатизации), ОИБ, ФМ и УБР (если оно выделено в отдельную службу), желательно под руководством представителя совета директоров или исполнительных органов кредитной организации (ввиду значимости интернет-сегмента для любой организации в настоящее время).
Содержание упомянутого раздела плана действий в чрезвычайных обстоятельствах может быть различным в зависимости от политики кредитной организации относительно использования собственных и сторонних представительств в Сети, назначения и конкретного размещения web-сайтов. Если web-сайт располагается на вычислительных «мощностях» компании-разработчика, интернет-провайдера или другой сторонней организации, то целесообразно еще до начала его практического использования (а лучше — проектирования) проанализировать сопутствующие компоненты банковских рисков и представить возможные последствия их реализации (включая, естественно, юридические). При этом, как и в других случаях аутсорсинга, в оптимальном варианте изучается репутация провайдера, возможно, его финансовая отчетность, АПО (с оценкой его надежности), квалификация персонала, опыт работы на данном рынке аутсорсинга и репутация, состояние ОИБ и т. д. Вся эта информация служит для оптимизации содержания контрактов на обслуживание и становится особенно важна в тех случаях, когда от функционирования провайдера прямо зависит качество обслуживания клиентов кредитной организации и могут затрагиваться их интересы. В такой ситуации содержание контрактов с провайдером логично было бы коррелировать с содержанием договоров с клиентами ДБО, особенно в части распределения ответственности в случае наступления предполагаемых чрезвычайных обстоятельств, а также в части механизмов возможных сопутствующих судебных разбирательств. Впрочем, если web-сайт располагается на вычислительных средствах самой кредитной организации, то соответствующий ряд процедур, относящихся к провайдерам и взаимоотношениям с ними, исключается из рассмотрения состава источников компонентов банковских рисков, хотя в рассматриваемом плане он все равно остается ввиду наличия угроз сетевых атак на информационно-процессинговые ресурсы самой организации.
Наконец, завершая этот параграф, необходимо упомянуть использование кредитными организациями «оффшоринга», что требует регулярного мониторинга, помимо рассматривавшихся банковских рисков, еще и странового риска (почему он и упоминался в главе 2). Организация, прибегающая к такому аутсорсингу, вынуждена вести мониторинг процессов, происходящих за рубежом, — политических, экономических, социальных, правовых — в стране дислокации провайдера услуг. Ей в соответствии с рекомендациями БКБН[182] следует также разработать план действий в случае прекращения выполнения своих обязательств таким провайдером (в том числе неожиданного) и «стратегию выхода» из контрактных отношений. В оптимальном варианте на крайний случай должны предусматриваться мероприятия по экстренному «возврату» выполнения необходимых функций на территорию своей страны, что предполагает наличие либо резервных мощностей у самой кредитной организации, либо резервной договоренности с аналогичным провайдером, предпочтительно резидентом.
В результате при обсуждении пруденциальной организации взаимодействия с провайдерами речь должна идти о комплексе процедур, т. е. о процессе, в котором могут быть задействованы и операционные подразделения кредитной организации, и ее инженерно-технические специалисты, и юристы, наряду (возможно) со специалистами по ОИБ, ФМ и ВК (имея в виду систему ВК), а также сервис-центр. Очевидно, что формирование указанного процесса и его циклическая инициация по мере внедрения новых банковских информационных технологий является прерогативой высшего руководства или исполнительных органов кредитной организации, что целесообразно «закрепить» в ее внутренних документах. Логичным следствием этого должно являться распределение соответствующей ответственности и обязанностей (ролевых функций), подконтрольности и подотчетности между структурными подразделениями организации с доведением действия этой компоненты адаптации документарного обеспечения ДБО в кредитной организации (параграф 5.1) до должностных инструкций ответственных исполнителей в этих ее подразделениях и дополнения содержания процесса ВК в ней. Все это позволит снизить уровни компонентов банковских рисков, ассоциируемых с наличием зависимости надежности ДБО от провайдеров.