Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки[189];
6) подготовку исходных данных на интернет-проекты, технических заданий (ТЗ) на создание web-ресурсов и дополнений к ним;
7) управление разработкой web-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);
8) выбор провайдеров в части разработки, хостинга, сопровождения web-pecypcoв кредитной организации и обеспечения их функционирования[190];
9) контроль функциональности web-pecypcoв и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;
10) изучение состава и содержания возникающих web-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;
11) обеспечение резервирования web-pecypcoв и связанных с ними маршрутов передачи банковских и клиентских данных;
12) определение порядка формирования контента web-страниц, включая его согласование, утверждение в кредитной организации и верстку;
13) определение необходимости в каком-либо функциональном наполнении web-страниц (активными компонентами), его состава и содержания;
14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;
15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией web-ресурсов;
16) модернизацию (редизайн и реинжиниринг) web-pecypcoв в процессе развития банковского бизнеса через Сеть;
17) сопровождение web-pecypcoв в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);
18) определение способов и средств замены web-pecypcoв в случае их отказа (альтернативные каналы взаимодействия с клиентами);
19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);
20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу web-pecypcoв.
Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:
— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование web-pecypcoв;
— организация форс-мажорного управления web-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);
— принятие решений относительно необходимости дополнительной обработки информации, поступающей через функционал web-pecypcoв;
— анализ возникающих технических проблем (на всех этапах жизненного цикла web-проектов);
— анализ статистики посещаемости web-pecypcoв для определения путей их развития;
— анализ эффективности функционирования и использования web-pecypcoв кредитной организации;
— комплексный анализ предложений и замечаний различных пользователей web-pecypcoв по результатам их эксплуатации;
— модернизация организации создания и исполнения интернет-проектов в кредитной организации (включая взаимодействие ее подразделений);
— обеспечение информационной безопасности web-pecypcoв и контента, критично важного для кредитной организации и ее клиентов;
— замена скомпрометированных хакерами версий программного обеспечения web-pecypcoB.
Отдевьная дополнительная процедура в оптимальном варианте организации управления web-отношениями и их контроля подлежит разработке и внедрению в процесс УБР. Такая процедура включает:
анализ формируемых web-отношений кредитной организации;
выявление сопутствующих им источников компонентов банковских рисков;
анализ причин возникновения этих компонентов;
определение возможных мер подавления влияния таких источников[191];
оценку ресурсов, необходимых для парирования такого влияния;
мероприятия по организации дополнительного управления рисками;
функции по контролю над дополнительным управлением рисками;
дополнение отчетности для руководства кредитной организации.
В ряде публикаций зарубежных органов банковского регулирования и надзора вопросам управления web-представительствами уделяется специальное внимание, поскольку от его качества непосредственно зависят наличие и уровни специфических компонентов репутационного, правового, операционного, а иногда и стратегического банковских рисков (с учетом того, что Интернет фактически уже является «наиболее массовым» средством массовой информации). Эти компоненты в совокупности могут возникать из-за того, к примеру, что:
— приводимая на web-страницах банковская информация содержит ошибки (что в российском банковском секторе не редкость)[192];
— функционирование web-сайта неудобно для клиентов (как реальных, так и потенциальных);
— web-сайты кредитных организаций недостаточно информативны или поиск необходимой клиентам информации затруднен;
— web-сайты кредитных организаций недостаточно надежны в функциональном плане;
— используемые кредитными организациями web-сайты недостаточно защищены от внешних воздействий[193] и т. п.
Приведенные перечни целесообразно использовать исполнительным органам кредитной организации в ходе циклической реорганизации процесса УБР при ДБО, вводе в эксплуатацию или при лизинге новых web-сайтов, используемых в банковской деятельности, новых сервисов, для которых используется технология интернет-банкинга и web-порталы и т. п. Все эти мероприятия прямо связаны с адаптацией рассматривавшихся выше внутрибанковских процессов и составляющих их процедур к новым условиям осуществления банковской деятельности, создаваемым технологиями ДБО.
В завершение главы уместно привести цитату из упоминавшейся коллективной работы органов банковского регулирования и надзора США, посвященной анализу факторов риска, сопутствующих web-связям[194]: «Управленческий аппарат должен эффективно планировать, реализовать и контролировать web-отношения своего финансового учреждения. Под это подпадают ситуации, в которых web-сайт данного учреждения создается, оформляется или ведется сторонним провайдером. Имеется несколько методов управления подверженностью финансового учреждения рискам, связанным с наличием web-отношений… Методы, используемые для управления конкретными рисками, обусловленными определенной web-связью, должны соответствовать уровню риска, свойственному данной связи».
Прежде всего при планировании кредитной организацией использования web-отношений необходимо точно определить виды услуг, а также содержание web-сайта, доступное его клиентам через web-связи. Руководству следует установить, соответствуют ли эти связи общему стратегическому плану учреждения. В число процедур, полезных при планировании web-отношений, входит анализ:
— содержания обязательств в отношении третьих сторон, с которыми данная организация собирается устанавливать связи, и их выполнения;
— содержания письменных соглашений с третьими сторонами (в широком смысле: договоров и контрактов);
— потенциальных правовых последствий, обусловленных невыполнением третьей стороной своих обязательств перед кредитной организацией.
Если речь идет об использовании технологии web-портала или web-сайта сторонней организации, то желательно провести изучение содержания выполнения потенциальных обязательств, чтобы определить, стоит ли ассоциироваться с качеством продуктов, услуг и общим содержанием, предлагаемыми третьей стороной на своих web-сайтах. При этом в упомянутых материалах отмечается, что «финансовому учреждению следует более внимательно рассмотреть связанные с продуктами обязательства, если третьи стороны предлагают финансовые продукты, услуги или другое содержание web-сайта финансового характера. В этом случае клиенты могут с большей вероятностью предположить, что данным финансовым учреждением изучены и одобрены такие продукты и услуги». В дополнение к изучению финансовой информации третьей стороны и характеристик обслуживания ею своих клиентов желательно рассмотреть дополнительную информацию о ней, оценив соответствие ее деятельности законам и другим нормативным актам, а также не могут ли связанные объявления рассматриваться как вводящая в заблуждение реклама.
Из проведенного краткого рассмотрения ясно, что главная роль в предотвращении большого числа мелких затруднений и неприятностей, связанных с реализацией web-отношений, принадлежит корпоративному управлению в кредитной организации. Именно с его помощью объединяются в адаптационном мета-процессе внутрибанковские процессы внедрения ИТ, УБР, ОИБ, ВК, правового и документарного обеспечения банковской деятельности в форме ДБО. Они же в свою очередь должны поддерживаться совокупностями внутрибанковских документов, в которых в том числе раскрывается содержание web-отношений и их особенности. К сожалению, реальная ситуация в российском банковском секторе усугубляется тем, что наблюдающаяся до настоящего организация ДБО характеризуется типичными недостатками в описаниях и организации внутрибанковских процессов, из-за чего часто реализуются источники компонентов типичных банковских рисков.