Глава 6 Управление web-отношениями кредитной организации
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43
Особые условия требуют особых решений.
Гарри Гаррисон, «Специалист по этике»
Web-отношения возникают у кредитной организации фактически уже при выходе ее в Сеть, с начала использования ею какого-либо web-представительства. Функционирование web-сайта определяется преимущественно тем АПО, на котором он реализован. Если возникают какие-то неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т. п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее web-представительствами, зависит от дислокации конкретного сайта и условий его функционирования (в том числе документально зафиксированных).
В том случае, когда «хозяином» web-сайта в полном смысле является сама организация и необходимые для нормальной работы в Сети web-сервера, брандмауэры, прокси-сервера, почтовые сервера и другое оборудование установлено непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, оперативно решаются ее же персоналом. Впрочем, здесь многое зависит от того, достаточен ли этот персонал для обслуживания СЭБ, имеет ли он необходимую квалификацию, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые положения имеются в должностных инструкциях и планах действий на случай чрезвычайных обстоятельств, доведены ли они до конкретных исполнителей (реально) и т. п.
В случае размещения web-сайта кредитной организации на средствах сторонних организаций (интернет-провайдера, компании-разработчика web-сайта и др.) ситуация может измениться радикально. Прежде всего процесс внедрения ДБО следует начинать с выбора провайдера и определения отношения с ним. Если вернуться к материалам органов банковского регулирования и надзора США, то, скажем, FFIEC рекомендует кредитным организациям внедрение специальных процессов управления компонентами рисков, которые включают выявление, измерение, мониторинг и контроль рисков, связанных с технологическим обслуживанием в рамках аутсорсинга. В его рекомендациях описываются следующие 4 ключевых процесса для учета кредитными организациями таких рисков: «1) оценка риска, 2) выбор провайдера услуг, 3) определение содержания аутсорсинга и 4) проверка контрактов и текущий мониторинг провайдеров услуг». В данной книге это компоненты процесса взаимодействия с провайдерами, рассмотренного в главе 5.
Отдельного рассмотрения требует такой вариант ДБО, при котором различные его виды предлагают как головной офис кредитной организации, так и ее филиалы (в первую очередь это относится к интернет-банкингу). В оптимальном варианте этой деятельности предполагается, что вся банковская «субсистема» такой кредитной организации (имея в виду в совокупности ее головной офис, филиалы, отделения, представительства и прочие возможно выделенные подразделения) действует исходя из принятой в ней соответствующей корпоративной политики, в которой помимо организационно-технологических аспектов предусмотрен аналог «группового подхода», описанный БКБН. Проще говоря, ведение и сопровождение web-сайта головным офисом кредитной организации и, например, любым ее филиалом не должны иметь принципиальных различий и характеризоваться пруденциальным подходом. Это относится и к определению и модернизации информационного контента web-сайта, и к обеспечению его функциональной доступности, и к контролю над целостностью контента, и к контролю и резервированию функциональных возможностей, и т. д.
Важно подчеркнуть, что практически все web-отношения образуются и поддерживаются именно в ИКБД и через его посредство. То же самое относится к расширенному в случае ДБО через Интернет периметру информационной безопасности кредитной организации, который «проходит» и через клиентскую зону ответственности, и через программно-технические средства, принадлежащие провайдерам кредитной организации, и через информационные сечения в структурах локальных и зональных вычислительных сетей и т. п.
Содержание web-отношений во многом зависит от того, как создавались web-сайты, используемые кредитной организацией. По мнению автора, такие представительства в Сети в современном мире являются «одним из ее лиц», однако документы, регламентирующие разработку (или подход к ней), ведение, сопровождение и контроль web-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций найти не удается. Понятно, что в этом случае причины отсутствия руководящего банковского внимания к «каким-то там» web-сайтам все те же, но на сегодняшний день уже не одна отечественная кредитная организация столкнулась с направленными в «ее web-адрес» проявлениями «недобросовестной конкуренции».
Как бы то ни было, вне зависимости от расположения и ведения web-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.
Возможно, столь глубокое проникновение в проблематику «web-обусловленных» источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология так называемых «web-порталов», предлагаемый подход уместно принять к сведению. Конечно, многие из web-сайтов кредитных организаций содержат web-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум, руководству таких организаций следует знать о связанных с этими обстоятельствами возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется и определяется именно органами управления кредитной организации. Наибольшее число web-отношений, в которые вступает кредитная организация при «выходе в Сеть», можно классифицировать по трем видам:
взаимодействие с клиентами через посредство web-pecypcoв, обеспечивающих предоставление банковских услуг;
взаимодействие с провайдерами, обеспечивающими кредитную организацию web-ресурсами;
взаимодействие с другими web-ресурсами через посредство гиперссылок (web-связей).
Первый случай характеризуется возможностями прямого проявления влияния «интернет-компонентов» банковских рисков через структуры распределенных компьютерных систем, второй — негативным проявлением наличия как сторонних организаций в ИКБД, так и функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами, третий же представляет собой взаимодействие опосредованное, но, как свидетельствует практика, также связанное с факторами банковских рисков. При этом уровни сопутствующих компонентов таких рисков прямо зависят как от архитектурных сетевых решений, так и от содержания контрактов, определяющих обязательства сторон при осуществлении и обеспечении ДБО.
В части причин возникновения новых и совершенно немотивированных причин нежелательного смещения профиля риска кредитной организации сказанное отражается на всех видах web-отношений. Прежде всего необходимо отметить, что в кредитных организациях, как правило, отсутствуют внутрибанковские документы, содержащие описание распределения ответственности в отношении тех или иных провайдеров по подразделениям. Точно так же, как правило, «по умолчанию» принимается, что вся необходимая кредитной организации работа в части доступа к ресурсам Интернета и использования web-представительств планируется, организуется и реализуется ее подразделением, отвечающим за ИТ «вообще» (информатизацию или автоматизацию). При этом, как следствие, в кредитной организации отсутствует официально утвержденное формальное описание распределения обязанностей и ответственности по видам соответствующих провайдеров. Результатом этого оказывается полная зависимость содержания и качества процесса взаимодействия с провайдерами от менеджеров среднего уровня (развития процесса), а то и от отдельных исполнителей, которые в отсутствие регламентирующих внутрибанковских документов начиная с порядка использования СЭБ действуют в рамках своего понимания этой проблематики — т. е. сути и степени зависимости банковской деятельности от конкретных провайдеров — и собственной квалификации (уровень 2).
Вместе с этим необходимо подчеркнуть, что возникновение и необходимость сопровождения web-отношений нередко не воспринимаются руководством кредитной организации как специфическая и достаточно важная для самой организации и ее клиентов задача (за исключением примеров, относящихся к крупным кредитным организациям, обладающим собственными департаментами ИТ). Вследствие этого возникновение и развитие таких отношений «автоматически» относится на сотрудников упомянутых подразделений, как правило, без учета возрастающей функциональной нагрузки, поскольку о содержании и объеме соответствующих обязанностей лица, принимающие решения, имеющие отношение к использованию кредитной организации представительств в Интернете, зачастую не знают. Эта нагрузка увеличивается по мере расширения присутствия кредитной организации в Сети, однако в рамках корпоративного управления банковской деятельностью этому зачастую не уделяется должного внимания. Это, кстати, относится не только к технологии ИБ, ситуация совершенно аналогична для любых вариантов ДБО.
Точно так же и ответственность за выбор провайдеров кредитной организации, организацию и контроль взаимоотношений с ними, а также их состояния с точки зрения их надежности, в кредитных организациях документально чаще всего не определена, поскольку считается, что для решения любых вопросов такого рода достаточно действий менеджеров среднего звена, действующих в рамках своей компетенции. Следствием такого подхода может оказаться (как минимум) чрезмерно затратная политика кредитной организации в отношении провайдеров и повышение уровней компонентов банковских рисков, которые зависят от качества выполнения своих функций провайдерами. Крайним же негативным вариантом может оказаться потеря контроля со стороны кредитной организации над функционированием web-pecypcoB, используемых ею в процессе банковской деятельности, следствием чего может стать возникновение неожиданных «web-неприятностей» и повышение уровней типичных банковских рисков. Ситуация с учетом потенциальных источников компонентов этих рисков может усугубиться, если в организации отсутствует специализированный внутрибанковский процесс управления web-сайтами и контроля их функционирования.
Особые условия требуют особых решений.
Гарри Гаррисон, «Специалист по этике»
Web-отношения возникают у кредитной организации фактически уже при выходе ее в Сеть, с начала использования ею какого-либо web-представительства. Функционирование web-сайта определяется преимущественно тем АПО, на котором он реализован. Если возникают какие-то неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т. п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее web-представительствами, зависит от дислокации конкретного сайта и условий его функционирования (в том числе документально зафиксированных).
В том случае, когда «хозяином» web-сайта в полном смысле является сама организация и необходимые для нормальной работы в Сети web-сервера, брандмауэры, прокси-сервера, почтовые сервера и другое оборудование установлено непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, оперативно решаются ее же персоналом. Впрочем, здесь многое зависит от того, достаточен ли этот персонал для обслуживания СЭБ, имеет ли он необходимую квалификацию, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые положения имеются в должностных инструкциях и планах действий на случай чрезвычайных обстоятельств, доведены ли они до конкретных исполнителей (реально) и т. п.
В случае размещения web-сайта кредитной организации на средствах сторонних организаций (интернет-провайдера, компании-разработчика web-сайта и др.) ситуация может измениться радикально. Прежде всего процесс внедрения ДБО следует начинать с выбора провайдера и определения отношения с ним. Если вернуться к материалам органов банковского регулирования и надзора США, то, скажем, FFIEC рекомендует кредитным организациям внедрение специальных процессов управления компонентами рисков, которые включают выявление, измерение, мониторинг и контроль рисков, связанных с технологическим обслуживанием в рамках аутсорсинга. В его рекомендациях описываются следующие 4 ключевых процесса для учета кредитными организациями таких рисков: «1) оценка риска, 2) выбор провайдера услуг, 3) определение содержания аутсорсинга и 4) проверка контрактов и текущий мониторинг провайдеров услуг». В данной книге это компоненты процесса взаимодействия с провайдерами, рассмотренного в главе 5.
Отдельного рассмотрения требует такой вариант ДБО, при котором различные его виды предлагают как головной офис кредитной организации, так и ее филиалы (в первую очередь это относится к интернет-банкингу). В оптимальном варианте этой деятельности предполагается, что вся банковская «субсистема» такой кредитной организации (имея в виду в совокупности ее головной офис, филиалы, отделения, представительства и прочие возможно выделенные подразделения) действует исходя из принятой в ней соответствующей корпоративной политики, в которой помимо организационно-технологических аспектов предусмотрен аналог «группового подхода», описанный БКБН. Проще говоря, ведение и сопровождение web-сайта головным офисом кредитной организации и, например, любым ее филиалом не должны иметь принципиальных различий и характеризоваться пруденциальным подходом. Это относится и к определению и модернизации информационного контента web-сайта, и к обеспечению его функциональной доступности, и к контролю над целостностью контента, и к контролю и резервированию функциональных возможностей, и т. д.
Важно подчеркнуть, что практически все web-отношения образуются и поддерживаются именно в ИКБД и через его посредство. То же самое относится к расширенному в случае ДБО через Интернет периметру информационной безопасности кредитной организации, который «проходит» и через клиентскую зону ответственности, и через программно-технические средства, принадлежащие провайдерам кредитной организации, и через информационные сечения в структурах локальных и зональных вычислительных сетей и т. п.
Содержание web-отношений во многом зависит от того, как создавались web-сайты, используемые кредитной организацией. По мнению автора, такие представительства в Сети в современном мире являются «одним из ее лиц», однако документы, регламентирующие разработку (или подход к ней), ведение, сопровождение и контроль web-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций найти не удается. Понятно, что в этом случае причины отсутствия руководящего банковского внимания к «каким-то там» web-сайтам все те же, но на сегодняшний день уже не одна отечественная кредитная организация столкнулась с направленными в «ее web-адрес» проявлениями «недобросовестной конкуренции».
Как бы то ни было, вне зависимости от расположения и ведения web-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.
Возможно, столь глубокое проникновение в проблематику «web-обусловленных» источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология так называемых «web-порталов», предлагаемый подход уместно принять к сведению. Конечно, многие из web-сайтов кредитных организаций содержат web-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум, руководству таких организаций следует знать о связанных с этими обстоятельствами возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется и определяется именно органами управления кредитной организации. Наибольшее число web-отношений, в которые вступает кредитная организация при «выходе в Сеть», можно классифицировать по трем видам:
взаимодействие с клиентами через посредство web-pecypcoв, обеспечивающих предоставление банковских услуг;
взаимодействие с провайдерами, обеспечивающими кредитную организацию web-ресурсами;
взаимодействие с другими web-ресурсами через посредство гиперссылок (web-связей).
Первый случай характеризуется возможностями прямого проявления влияния «интернет-компонентов» банковских рисков через структуры распределенных компьютерных систем, второй — негативным проявлением наличия как сторонних организаций в ИКБД, так и функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами, третий же представляет собой взаимодействие опосредованное, но, как свидетельствует практика, также связанное с факторами банковских рисков. При этом уровни сопутствующих компонентов таких рисков прямо зависят как от архитектурных сетевых решений, так и от содержания контрактов, определяющих обязательства сторон при осуществлении и обеспечении ДБО.
В части причин возникновения новых и совершенно немотивированных причин нежелательного смещения профиля риска кредитной организации сказанное отражается на всех видах web-отношений. Прежде всего необходимо отметить, что в кредитных организациях, как правило, отсутствуют внутрибанковские документы, содержащие описание распределения ответственности в отношении тех или иных провайдеров по подразделениям. Точно так же, как правило, «по умолчанию» принимается, что вся необходимая кредитной организации работа в части доступа к ресурсам Интернета и использования web-представительств планируется, организуется и реализуется ее подразделением, отвечающим за ИТ «вообще» (информатизацию или автоматизацию). При этом, как следствие, в кредитной организации отсутствует официально утвержденное формальное описание распределения обязанностей и ответственности по видам соответствующих провайдеров. Результатом этого оказывается полная зависимость содержания и качества процесса взаимодействия с провайдерами от менеджеров среднего уровня (развития процесса), а то и от отдельных исполнителей, которые в отсутствие регламентирующих внутрибанковских документов начиная с порядка использования СЭБ действуют в рамках своего понимания этой проблематики — т. е. сути и степени зависимости банковской деятельности от конкретных провайдеров — и собственной квалификации (уровень 2).
Вместе с этим необходимо подчеркнуть, что возникновение и необходимость сопровождения web-отношений нередко не воспринимаются руководством кредитной организации как специфическая и достаточно важная для самой организации и ее клиентов задача (за исключением примеров, относящихся к крупным кредитным организациям, обладающим собственными департаментами ИТ). Вследствие этого возникновение и развитие таких отношений «автоматически» относится на сотрудников упомянутых подразделений, как правило, без учета возрастающей функциональной нагрузки, поскольку о содержании и объеме соответствующих обязанностей лица, принимающие решения, имеющие отношение к использованию кредитной организации представительств в Интернете, зачастую не знают. Эта нагрузка увеличивается по мере расширения присутствия кредитной организации в Сети, однако в рамках корпоративного управления банковской деятельностью этому зачастую не уделяется должного внимания. Это, кстати, относится не только к технологии ИБ, ситуация совершенно аналогична для любых вариантов ДБО.
Точно так же и ответственность за выбор провайдеров кредитной организации, организацию и контроль взаимоотношений с ними, а также их состояния с точки зрения их надежности, в кредитных организациях документально чаще всего не определена, поскольку считается, что для решения любых вопросов такого рода достаточно действий менеджеров среднего звена, действующих в рамках своей компетенции. Следствием такого подхода может оказаться (как минимум) чрезмерно затратная политика кредитной организации в отношении провайдеров и повышение уровней компонентов банковских рисков, которые зависят от качества выполнения своих функций провайдерами. Крайним же негативным вариантом может оказаться потеря контроля со стороны кредитной организации над функционированием web-pecypcoB, используемых ею в процессе банковской деятельности, следствием чего может стать возникновение неожиданных «web-неприятностей» и повышение уровней типичных банковских рисков. Ситуация с учетом потенциальных источников компонентов этих рисков может усугубиться, если в организации отсутствует специализированный внутрибанковский процесс управления web-сайтами и контроля их функционирования.