3.2. Основные внутрибанковские процессы, связанные с электронным банкингом
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43
Вне зависимости от того, какая именно ТЭБ внедряется кредитной организацией, адаптации (модернизации) и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации и заканчивая должностными инструкциями конкретных исполнителей и квалификационными требованиями к ним. Принятие соответствующих решений является, естественно, прерогативой высшего руководства кредитной организации, что уместно четко и однозначно определить в ее документах, определяющих ролевые функции совета директоров и высшего менеджмента.
Поэтому тем кредитным организациям, которые «смело смотрят в будущее» и намерены активно поддерживать имидж «Банка XXI века», логично разработать и внедрить специальный новый внутрибанковский процесс, ориентированный на внедрение инноваций.
Об этом, насколько известно автору, «нигде и никогда» не пишут, а на самом деле ситуация далеко не так проста, как может показаться. Вероятно, особенно важно задуматься о желательности такого процесса, если вспомнить о связанных с внедрением новых технологий компонентах стратегического, операционного, правового и репутационного рисков. Основным содержанием этого процесса является упоминавшийся «проактивный» анализ, ориентированный преимущественно на:
1) изучение содержания и особенностей новой технологии банковского обслуживания, включая анализ ресурсной базы кредитной организации;
2) разработку сценария внедрения технологии и необходимых организационных мероприятий (описание «переходного периода»);
3) оценку потенциальной клиентской базы технологии, возможных тарифов (доходности), рентабельности и требований к клиентам;
4) оценку требований к аппаратно-программному, информационному и административно-организационному обеспечению технологии;
5) оценку требований к квалификации специалистов, связанных с обеспечением применения технологии, и возможной их переподготовке;
6) оценку изменений в процессе УБР, возникновении новых процедур и квалификационных требованиях к его персоналу;
7) оценку изменений в политике обеспечения информационной безопасности, реализующих ее в процедурах и работе соответствующего подразделения;
8) оценку изменений в организации и содержании внутреннего контроля, а также во внутрибанковской системе этого контроля в целом;
9) оценку возможных изменений в мероприятиях, относящихся к финансовому мониторингу, и дополнительного обеспечения его поддержки;
10) оценку изменений в правовом обеспечении банковской деятельности и его квалификационной поддержке;
11) оценку изменений в содержании работы сервис-центра и претензионной работы с клиентами и необходимости новых информационных связей;
12) определение содержания договоров с клиентами, обслуживаемыми дистанционно, и снижение уровней рисков, связанных с ними;
13) определение содержания контрактов с провайдерами и обеспечение контроля их функционирования (соглашения об уровне обслуживания[74]);
14) перераспределение функциональных ролей, обязанностей и ответственности в иерархической структуре организации;
15) достижение согласованности взаимосвязанных внутрибанковских процессов на уровне процедур, включая новые (например, для провайдеров);
16) оценку изменений, которые потребуется внести в информационные системы управления (ИСУ) или системы ППР.
Это только основные компоненты нового внутрибанковского процесса, причем в зависимости от специфики деятельности конкретной коммерческой организации они тоже могут варьироваться по содержанию отдельных процедур. Желательно, кстати, учитывать, что в сфере современной банковской деятельности наибольшее значение имеет именно информационное обеспечение, т. е. необходимо быть уверенным в гарантиях полноты, целостности и своевременности предоставления данных, необходимых для реализации эффективного управления и контроля, независимо от специфики той или иной технологии ДБО. Излишне говорить, что с переходом значительного количества процедур, составляющих банковскую деятельность, в виртуальное киберпространство получение таких гарантий может оказаться весьма затруднительным. Поэтому бывают ситуации, когда может быть лучше даже не торопиться с внедрением многообещающих, но «мало понятных» с позиций традиционных процессов управления и контроля технологий ДБО, а сначала подготовить как следует надежную почву для их внедрения и результативного (в том числе безопасного!) использования. Что, собственно, и имеется обычно в виду под «пруденциальной» организацией условий применения таких технологий.
Очевидно, что все перечисленные выше составные элементы нового внутрибанковского бизнес-процесса представляют собой в свою очередь достаточно специфические процедуры, которые сами требуют специальных решений и мероприятий, организация которых и контроль над которыми являются прерогативой органов управления кредитной организации. Очевидно, что самым важным фактором адекватной реализации этих процедур является осознание их необходимости. В качестве примера, взятого из зарубежной практики банковского регулирования и надзора, можно привести основания для этого: считается, что в составе совета директоров высокотехнологичной кредитной организации должны находиться руководители, имеющие подготовку в области, как говорят, «электронных банковских технологий», обеспечения информационной безопасности и других связанных с ними дисциплин[75]. При этом «во главу угла» ставится обеспечение адекватности системы управления и контроля в таких организациях сложности и масштабам их деятельности с учетом используемых технологий банковского обслуживания, в первую очередь технологий ДБО.
Рассматриваемый бизнес-процесс должен, естественно, опираться на реальные внутрибанковские ресурсы, так что если говорить о его практической интерпретации, то органам управления кредитной организации логично организовать его как подобие своего рода научно-исследовательской работы. Для ее выполнения необходимы прежде всего специалисты в области ИТ, причем из состава как минимум пяти служб[76]: информатизации (автоматизации), операционной (включая маркетинг), обеспечения информационной безопасности, внутреннего контроля и юридической. Каждый из них должен получить и выполнить свое «задание»:
первые — решение вопросов ТЭО, первого, второго, четвертого, пятого, седьмого, девятого и тринадцатого направлений;
вторые — решение вопросов по второму, третьему, одиннадцатому и двенадцатому направлениям;
третьи — решение вопросов по первому, четвертому, пятому и тринадцатому направлениям;
четвертые — решение вопросов по первому, четвертому — шестому и восьмому направлениям;
пятые — решение вопросов по первому, шестому, десятому — тринадцатому направлениям.
Направления с 14 по 16 требуют участия руководства кредитной организации (ее исполнительных органов) и всех перечисленных служб. Приведенное перечисление охватывает опять-таки лишь основных специалистов и функции, которые целесообразно было бы включать в обеспечение нового внутрибанковского бизнес-процесса в кредитной организации.
Далее требуются конкретные финансовые средства на внедрение и развитие новой технологии ДБО, причем здесь уместно задуматься и о некотором резервировании, поскольку все возможные затраты изначально предусмотреть невозможно. Считается, что изначально внедрение системы ДБО, такой, как, например, интернет-банкинга, может потребовать существенных инвестиций, однако они быстро себя окупают, и кредитная организация вместе с ростом клиентской базы ДБО начинает получать ощутимую прибыль. Это соответствует действительности (как по данным зарубежных исследований, так и по информации, полученной в ряде российских кредитных организаций). Тем не менее на практике такое внедрение нередко означает реализацию различных как бы «мелких» рисковых компонентов, которые, впрочем, могут оказаться вполне значимыми в смысле стратегического, правового и репутационного рисков, а иногда и операционного, и неплатежеспособности. Ясно, что процессы управления в кредитных организациях, так или иначе связанные с внедрением, эксплуатацией, сопровождением, модернизацией банковских информационных технологий, логично строить с учетом соответствующих прямых и обратных связей в ПСУ или системе ППР. Типичными примерами в этой проблемной области являются:
— «стыковка» действующих и новых банковских автоматизированных систем (они проявляются, как правило, в так называемых «информационных сечениях», и эти сечения должны являться предметом самого пристального внимания специалистов кредитных организаций по информационным технологиям, обеспечению информационной безопасности и внутреннему контролю особенно в случае заказных разработок или приобретения системы ДБО «под ключ», что вполне типично[77]);
— несоответствие функциональных возможностей заказанной или приобретенной «под ключ» системы ДБО реальным деловым потребностям кредитной организации и (или) ее клиентов (следствием чего практически всегда является «заплаточный» способ подгонки уже проданной (приобретенной) системы за счет переписывания и замены программных модулей, «дописывания» (в смысле программирования) дополнительных функций, ошибки в преобразовании (конвертировании) форматов передаваемых файлов и т. п., причем все это чаще всего делается без должного документарного оформления, тестирования и (или) приемо-сдаточных испытаний и т. д.);
— неправильный расчет производительности систем ДБО, что часто связано с недостатками как в маркетинговой политике (реализация стратегического риска), так и в ТЭО (операционный и репутационный риски), а также отсутствие контроля динамики развития данного бизнес-направления (в широком смысле, о котором говорилось в предыдущем разделе) и прогнозирования его дальнейшего развития (или наоборот, что тоже случается);
— наличие недостатков в обеспечении информационной безопасности и защите банковской и клиентской информации (кстати, такие факты нередко являются следствием пренебрежения органами управления кредитной организации реальными ее потребностями в средствах защиты внутрибанковских локальных вычислительных сетей и, возможно, зональных сетей такого рода, а также недостаточного внимания к контролю над распределенными компьютерными системами провайдеров, через которые могут осуществляться разного рода сетевые атаки);
— несовершенство системы внутреннего контроля и функционирования службы внутреннего контроля, выражающееся в том прежде всего, что модернизация ее деятельности отстает от развития и совершенствования банковской деятельности, особенно от изменений, вносимых в ее аппаратно-программное и информационное обеспечение (в настоящее время известно уже много случаев использования систем ДБО для финансовых преступлений и разного рода противоправной деятельности).
Настало время понимания того, что, поскольку каждое внедрение любого из вариантов технологий электронного банкинга способно существенно изменить бизнес-модели кредитной организации, оно неизбежно влияет на ее внутрибанковские процессы, обеспечивающие банковскую деятельность. Поэтому целесообразно на основе понятия «жизненного цикла» (ЖЦ), как отмечалось в параграфе 2.1, адаптировать к новым способам и условиям осуществления банковской деятельности (как минимум) следующие процессы:
— документарного обеспечения банковской деятельности (требуются новые порядки, регламенты, внесение изменений в положения о структурных подразделениях и должностные инструкции и пр.);
— управления банковскими рисками (требуются описания новых компонентов этих рисков);
— информатизации (автоматизации) банковской деятельности (требуется освоение новой технологии и аппаратно-программного обеспечения, создание механизмов администрирования, сопровождения СЭБ и т. д.);
— правового (юридического) обеспечения банковской деятельности (требуется разработка новых вариантов договоров с клиентами, распределения прав и ответственности, комплаенс-контроля и т. д.);
— обеспечения информационной безопасности (требуется обновление политики обеспечения информационной безопасности, разработка моделей угроз безопасности и сценариев их развития, мер по их парированию и т. п.);
— внутреннего контроля — общей системы и соответствующей службы в ее составе (требуется разработка контроля, сопровождаемая дополнением совокупной квалификации);
— финансового мониторинга (требуется разработка новых методик, программ, средств и механизмов мониторинга, моделей угроз);
— обслуживания клиентов (включая сервис-центр) и претензионной работы (требуется освоение нового ИКБД и дополнительное информационное обеспечение, сопровождаемые дополнением совокупной квалификации).
Одновременно необходимо внедрить новый процесс и реализующие его процедуры организации взаимоотношений с провайдерами (требующей решения технических и юридических вопросов, а также дополнения ролевых функций перечислявшихся выше служб кредитной организации).
Понятие ЖЦ стало уже привычным в отношении банковских автоматизированных систем и других информационных систем кредитных организаций, тогда как понятие ЖЦ внутрибанковского процесса таковым пока еще не стало (о чем свидетельствуют многочисленные ошибки, допускаемые в кредитных организациях при внедрении ими новых банковских информационных технологий). Собственно цикл определяется темпом инноваций, поскольку практически любое нововведение такого рода приводит к смещению профиля риска кредитной организации, которое следует учесть в форме модернизации процесса УБР, а затем в адаптации перечисленных выше внутрибанковских процессов. Таким образом, еще одним постулатом обеспечения надежной банковской деятельности является целесообразность понимания и осознания возникновения цикличности этих процессов, чего до внедрения в деятельность кредитных организаций технологий и реализующих их систем электронного банкинга практически не наблюдалось (ввиду отсутствия необходимости в этом при традиционной организации банковского дела).
В качестве примера можно напомнить, что уже одно лишь использование web-сайта в банковской деятельности предполагает понимание, с одной стороны, тех обязательств, которые принимает на себя кредитная организация перед, так сказать, «внешним миром», в первую очередь своими реальными и потенциальными клиентами, с другой стороны, того, какие именно условия необходимо обеспечить для выполнения этих обязательств. Обеспечение того и другого как раз и представляет собой определенный внутрибанковский процесс. Содержание такого web-сайта, естественно, целесообразно поддерживать актуальным (включая обеспечение целостности информации), в противном случае организация может оказаться подвержена действию ряда источников правового, репутационного и стратегического рисков. Следовательно, в оптимальном варианте, реализации которого должен способствовать процессный подход, в ней назначаются ответственные должностные лица за разработку (или ее организацию в случае заказа третьей стороне на выполнение этой работы), ведение, сопровождение, модернизацию web-сайта, наконец, за контроль его функционирования и содержания. Весь этот персонал (крайне нежелательно, чтобы это был только один специалист) целесообразно обеспечить такими документами, как политика кредитной организации в Сети[78], состав информационного обеспечения web-сайта (контент), должностные инструкции, порядок информационного взаимодействия (в управленческой иерархии), план действий на случай чрезвычайных обстоятельств. Это минимальный в данном случае набор; дополнительные функции и проблемные вопросы, связанные с web-сайтами, будут рассмотрены в главе 6.
Естественно, ответственность за упомянутое осознание лежит на совете директоров и высшем руководстве кредитной организации, от которых зависит принятие решений о переходе к ДБО. В связи с этим можно отметить также, что «недоработки высшего уровня» могут наблюдаться, даже начиная с устава кредитной организации, поскольку описания ролевых функций совета директоров, наблюдательного совета, исполнительных органов зачастую не содержат упоминаний об управлении информационными технологиями и контроле их применения. То же относится к описанию функций аудита (как внутреннего, так и внешнего), включая вопросы аудита информационных технологий и информационной безопасности, как будто банковская деятельность кредитной организации от этих технологий и реализующих их автоматизированных систем никак не зависит. Однако все изложенное в этой книге явно свидетельствует, что это не так.
Вне зависимости от того, какая именно ТЭБ внедряется кредитной организацией, адаптации (модернизации) и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации и заканчивая должностными инструкциями конкретных исполнителей и квалификационными требованиями к ним. Принятие соответствующих решений является, естественно, прерогативой высшего руководства кредитной организации, что уместно четко и однозначно определить в ее документах, определяющих ролевые функции совета директоров и высшего менеджмента.
Поэтому тем кредитным организациям, которые «смело смотрят в будущее» и намерены активно поддерживать имидж «Банка XXI века», логично разработать и внедрить специальный новый внутрибанковский процесс, ориентированный на внедрение инноваций.
Об этом, насколько известно автору, «нигде и никогда» не пишут, а на самом деле ситуация далеко не так проста, как может показаться. Вероятно, особенно важно задуматься о желательности такого процесса, если вспомнить о связанных с внедрением новых технологий компонентах стратегического, операционного, правового и репутационного рисков. Основным содержанием этого процесса является упоминавшийся «проактивный» анализ, ориентированный преимущественно на:
1) изучение содержания и особенностей новой технологии банковского обслуживания, включая анализ ресурсной базы кредитной организации;
2) разработку сценария внедрения технологии и необходимых организационных мероприятий (описание «переходного периода»);
3) оценку потенциальной клиентской базы технологии, возможных тарифов (доходности), рентабельности и требований к клиентам;
4) оценку требований к аппаратно-программному, информационному и административно-организационному обеспечению технологии;
5) оценку требований к квалификации специалистов, связанных с обеспечением применения технологии, и возможной их переподготовке;
6) оценку изменений в процессе УБР, возникновении новых процедур и квалификационных требованиях к его персоналу;
7) оценку изменений в политике обеспечения информационной безопасности, реализующих ее в процедурах и работе соответствующего подразделения;
8) оценку изменений в организации и содержании внутреннего контроля, а также во внутрибанковской системе этого контроля в целом;
9) оценку возможных изменений в мероприятиях, относящихся к финансовому мониторингу, и дополнительного обеспечения его поддержки;
10) оценку изменений в правовом обеспечении банковской деятельности и его квалификационной поддержке;
11) оценку изменений в содержании работы сервис-центра и претензионной работы с клиентами и необходимости новых информационных связей;
12) определение содержания договоров с клиентами, обслуживаемыми дистанционно, и снижение уровней рисков, связанных с ними;
13) определение содержания контрактов с провайдерами и обеспечение контроля их функционирования (соглашения об уровне обслуживания[74]);
14) перераспределение функциональных ролей, обязанностей и ответственности в иерархической структуре организации;
15) достижение согласованности взаимосвязанных внутрибанковских процессов на уровне процедур, включая новые (например, для провайдеров);
16) оценку изменений, которые потребуется внести в информационные системы управления (ИСУ) или системы ППР.
Это только основные компоненты нового внутрибанковского процесса, причем в зависимости от специфики деятельности конкретной коммерческой организации они тоже могут варьироваться по содержанию отдельных процедур. Желательно, кстати, учитывать, что в сфере современной банковской деятельности наибольшее значение имеет именно информационное обеспечение, т. е. необходимо быть уверенным в гарантиях полноты, целостности и своевременности предоставления данных, необходимых для реализации эффективного управления и контроля, независимо от специфики той или иной технологии ДБО. Излишне говорить, что с переходом значительного количества процедур, составляющих банковскую деятельность, в виртуальное киберпространство получение таких гарантий может оказаться весьма затруднительным. Поэтому бывают ситуации, когда может быть лучше даже не торопиться с внедрением многообещающих, но «мало понятных» с позиций традиционных процессов управления и контроля технологий ДБО, а сначала подготовить как следует надежную почву для их внедрения и результативного (в том числе безопасного!) использования. Что, собственно, и имеется обычно в виду под «пруденциальной» организацией условий применения таких технологий.
Очевидно, что все перечисленные выше составные элементы нового внутрибанковского бизнес-процесса представляют собой в свою очередь достаточно специфические процедуры, которые сами требуют специальных решений и мероприятий, организация которых и контроль над которыми являются прерогативой органов управления кредитной организации. Очевидно, что самым важным фактором адекватной реализации этих процедур является осознание их необходимости. В качестве примера, взятого из зарубежной практики банковского регулирования и надзора, можно привести основания для этого: считается, что в составе совета директоров высокотехнологичной кредитной организации должны находиться руководители, имеющие подготовку в области, как говорят, «электронных банковских технологий», обеспечения информационной безопасности и других связанных с ними дисциплин[75]. При этом «во главу угла» ставится обеспечение адекватности системы управления и контроля в таких организациях сложности и масштабам их деятельности с учетом используемых технологий банковского обслуживания, в первую очередь технологий ДБО.
Рассматриваемый бизнес-процесс должен, естественно, опираться на реальные внутрибанковские ресурсы, так что если говорить о его практической интерпретации, то органам управления кредитной организации логично организовать его как подобие своего рода научно-исследовательской работы. Для ее выполнения необходимы прежде всего специалисты в области ИТ, причем из состава как минимум пяти служб[76]: информатизации (автоматизации), операционной (включая маркетинг), обеспечения информационной безопасности, внутреннего контроля и юридической. Каждый из них должен получить и выполнить свое «задание»:
первые — решение вопросов ТЭО, первого, второго, четвертого, пятого, седьмого, девятого и тринадцатого направлений;
вторые — решение вопросов по второму, третьему, одиннадцатому и двенадцатому направлениям;
третьи — решение вопросов по первому, четвертому, пятому и тринадцатому направлениям;
четвертые — решение вопросов по первому, четвертому — шестому и восьмому направлениям;
пятые — решение вопросов по первому, шестому, десятому — тринадцатому направлениям.
Направления с 14 по 16 требуют участия руководства кредитной организации (ее исполнительных органов) и всех перечисленных служб. Приведенное перечисление охватывает опять-таки лишь основных специалистов и функции, которые целесообразно было бы включать в обеспечение нового внутрибанковского бизнес-процесса в кредитной организации.
Далее требуются конкретные финансовые средства на внедрение и развитие новой технологии ДБО, причем здесь уместно задуматься и о некотором резервировании, поскольку все возможные затраты изначально предусмотреть невозможно. Считается, что изначально внедрение системы ДБО, такой, как, например, интернет-банкинга, может потребовать существенных инвестиций, однако они быстро себя окупают, и кредитная организация вместе с ростом клиентской базы ДБО начинает получать ощутимую прибыль. Это соответствует действительности (как по данным зарубежных исследований, так и по информации, полученной в ряде российских кредитных организаций). Тем не менее на практике такое внедрение нередко означает реализацию различных как бы «мелких» рисковых компонентов, которые, впрочем, могут оказаться вполне значимыми в смысле стратегического, правового и репутационного рисков, а иногда и операционного, и неплатежеспособности. Ясно, что процессы управления в кредитных организациях, так или иначе связанные с внедрением, эксплуатацией, сопровождением, модернизацией банковских информационных технологий, логично строить с учетом соответствующих прямых и обратных связей в ПСУ или системе ППР. Типичными примерами в этой проблемной области являются:
— «стыковка» действующих и новых банковских автоматизированных систем (они проявляются, как правило, в так называемых «информационных сечениях», и эти сечения должны являться предметом самого пристального внимания специалистов кредитных организаций по информационным технологиям, обеспечению информационной безопасности и внутреннему контролю особенно в случае заказных разработок или приобретения системы ДБО «под ключ», что вполне типично[77]);
— несоответствие функциональных возможностей заказанной или приобретенной «под ключ» системы ДБО реальным деловым потребностям кредитной организации и (или) ее клиентов (следствием чего практически всегда является «заплаточный» способ подгонки уже проданной (приобретенной) системы за счет переписывания и замены программных модулей, «дописывания» (в смысле программирования) дополнительных функций, ошибки в преобразовании (конвертировании) форматов передаваемых файлов и т. п., причем все это чаще всего делается без должного документарного оформления, тестирования и (или) приемо-сдаточных испытаний и т. д.);
— неправильный расчет производительности систем ДБО, что часто связано с недостатками как в маркетинговой политике (реализация стратегического риска), так и в ТЭО (операционный и репутационный риски), а также отсутствие контроля динамики развития данного бизнес-направления (в широком смысле, о котором говорилось в предыдущем разделе) и прогнозирования его дальнейшего развития (или наоборот, что тоже случается);
— наличие недостатков в обеспечении информационной безопасности и защите банковской и клиентской информации (кстати, такие факты нередко являются следствием пренебрежения органами управления кредитной организации реальными ее потребностями в средствах защиты внутрибанковских локальных вычислительных сетей и, возможно, зональных сетей такого рода, а также недостаточного внимания к контролю над распределенными компьютерными системами провайдеров, через которые могут осуществляться разного рода сетевые атаки);
— несовершенство системы внутреннего контроля и функционирования службы внутреннего контроля, выражающееся в том прежде всего, что модернизация ее деятельности отстает от развития и совершенствования банковской деятельности, особенно от изменений, вносимых в ее аппаратно-программное и информационное обеспечение (в настоящее время известно уже много случаев использования систем ДБО для финансовых преступлений и разного рода противоправной деятельности).
Настало время понимания того, что, поскольку каждое внедрение любого из вариантов технологий электронного банкинга способно существенно изменить бизнес-модели кредитной организации, оно неизбежно влияет на ее внутрибанковские процессы, обеспечивающие банковскую деятельность. Поэтому целесообразно на основе понятия «жизненного цикла» (ЖЦ), как отмечалось в параграфе 2.1, адаптировать к новым способам и условиям осуществления банковской деятельности (как минимум) следующие процессы:
— документарного обеспечения банковской деятельности (требуются новые порядки, регламенты, внесение изменений в положения о структурных подразделениях и должностные инструкции и пр.);
— управления банковскими рисками (требуются описания новых компонентов этих рисков);
— информатизации (автоматизации) банковской деятельности (требуется освоение новой технологии и аппаратно-программного обеспечения, создание механизмов администрирования, сопровождения СЭБ и т. д.);
— правового (юридического) обеспечения банковской деятельности (требуется разработка новых вариантов договоров с клиентами, распределения прав и ответственности, комплаенс-контроля и т. д.);
— обеспечения информационной безопасности (требуется обновление политики обеспечения информационной безопасности, разработка моделей угроз безопасности и сценариев их развития, мер по их парированию и т. п.);
— внутреннего контроля — общей системы и соответствующей службы в ее составе (требуется разработка контроля, сопровождаемая дополнением совокупной квалификации);
— финансового мониторинга (требуется разработка новых методик, программ, средств и механизмов мониторинга, моделей угроз);
— обслуживания клиентов (включая сервис-центр) и претензионной работы (требуется освоение нового ИКБД и дополнительное информационное обеспечение, сопровождаемые дополнением совокупной квалификации).
Одновременно необходимо внедрить новый процесс и реализующие его процедуры организации взаимоотношений с провайдерами (требующей решения технических и юридических вопросов, а также дополнения ролевых функций перечислявшихся выше служб кредитной организации).
Понятие ЖЦ стало уже привычным в отношении банковских автоматизированных систем и других информационных систем кредитных организаций, тогда как понятие ЖЦ внутрибанковского процесса таковым пока еще не стало (о чем свидетельствуют многочисленные ошибки, допускаемые в кредитных организациях при внедрении ими новых банковских информационных технологий). Собственно цикл определяется темпом инноваций, поскольку практически любое нововведение такого рода приводит к смещению профиля риска кредитной организации, которое следует учесть в форме модернизации процесса УБР, а затем в адаптации перечисленных выше внутрибанковских процессов. Таким образом, еще одним постулатом обеспечения надежной банковской деятельности является целесообразность понимания и осознания возникновения цикличности этих процессов, чего до внедрения в деятельность кредитных организаций технологий и реализующих их систем электронного банкинга практически не наблюдалось (ввиду отсутствия необходимости в этом при традиционной организации банковского дела).
В качестве примера можно напомнить, что уже одно лишь использование web-сайта в банковской деятельности предполагает понимание, с одной стороны, тех обязательств, которые принимает на себя кредитная организация перед, так сказать, «внешним миром», в первую очередь своими реальными и потенциальными клиентами, с другой стороны, того, какие именно условия необходимо обеспечить для выполнения этих обязательств. Обеспечение того и другого как раз и представляет собой определенный внутрибанковский процесс. Содержание такого web-сайта, естественно, целесообразно поддерживать актуальным (включая обеспечение целостности информации), в противном случае организация может оказаться подвержена действию ряда источников правового, репутационного и стратегического рисков. Следовательно, в оптимальном варианте, реализации которого должен способствовать процессный подход, в ней назначаются ответственные должностные лица за разработку (или ее организацию в случае заказа третьей стороне на выполнение этой работы), ведение, сопровождение, модернизацию web-сайта, наконец, за контроль его функционирования и содержания. Весь этот персонал (крайне нежелательно, чтобы это был только один специалист) целесообразно обеспечить такими документами, как политика кредитной организации в Сети[78], состав информационного обеспечения web-сайта (контент), должностные инструкции, порядок информационного взаимодействия (в управленческой иерархии), план действий на случай чрезвычайных обстоятельств. Это минимальный в данном случае набор; дополнительные функции и проблемные вопросы, связанные с web-сайтами, будут рассмотрены в главе 6.
Естественно, ответственность за упомянутое осознание лежит на совете директоров и высшем руководстве кредитной организации, от которых зависит принятие решений о переходе к ДБО. В связи с этим можно отметить также, что «недоработки высшего уровня» могут наблюдаться, даже начиная с устава кредитной организации, поскольку описания ролевых функций совета директоров, наблюдательного совета, исполнительных органов зачастую не содержат упоминаний об управлении информационными технологиями и контроле их применения. То же относится к описанию функций аудита (как внутреннего, так и внешнего), включая вопросы аудита информационных технологий и информационной безопасности, как будто банковская деятельность кредитной организации от этих технологий и реализующих их автоматизированных систем никак не зависит. Однако все изложенное в этой книге явно свидетельствует, что это не так.