6.4. Организация управления web-отношениями

Прежде всего при создании представительств кредитной организации в Сети целесообразно решать общие вопросы распределения обязанностей и ответственности в части ИБ, подконтрольности, подотчетности и т. п., что является прерогативой руководства организации, принимавшего решение о переходе к ДБО в форме ИБ. Необходимо отметить, что при кажущейся простоте этого вопроса количество функций, которые следует правильно определить и распределить между структурными подразделениями кредитной организации, достаточно велико. С учетом ограничений, налагаемых на объем книги, в качестве только лишь основных из них необходимо указать:

1) планирование развития web-ресурсов (разного рода) в соответствии со стратегическим и бизнес-планами данной организации;

2) анализ потребностей в ИБ кредитной организации в целом и ее структурных подразделений (информационных, коммуникационных, операционных);

3) организацию проектирования в кредитной организации представительств в Сети и координацию работ, выполняемых ее структурными подразделениями;

4) внесение дополнений в положения о структурных подразделениях, которые будут связаны с интернет-проектами и web-отношениями;

5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки[189];

6) подготовку исходных данных на интернет-проекты, технических заданий (ТЗ) на создание web-ресурсов и дополнений к ним;

7) управление разработкой web-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);

8) выбор провайдеров в части разработки, хостинга, сопровождения web-pecypcoв кредитной организации и обеспечения их функционирования[190];

9) контроль функциональности web-pecypcoв и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;

10) изучение состава и содержания возникающих web-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;

11) обеспечение резервирования web-pecypcoв и связанных с ними маршрутов передачи банковских и клиентских данных;

12) определение порядка формирования контента web-страниц, включая его согласование, утверждение в кредитной организации и верстку;

13) определение необходимости в каком-либо функциональном наполнении web-страниц (активными компонентами), его состава и содержания;

14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;

15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией web-ресурсов;

16) модернизацию (редизайн и реинжиниринг) web-pecypcoв в процессе развития банковского бизнеса через Сеть;

17) сопровождение web-pecypcoв в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);

18) определение способов и средств замены web-pecypcoв в случае их отказа (альтернативные каналы взаимодействия с клиентами);

19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);

20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу web-pecypcoв.

Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:

— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование web-pecypcoв;

— организация форс-мажорного управления web-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);

— принятие решений относительно необходимости дополнительной обработки информации, поступающей через функционал web-pecypcoв;

— анализ возникающих технических проблем (на всех этапах жизненного цикла web-проектов);

— анализ статистики посещаемости web-pecypcoв для определения путей их развития;

— анализ эффективности функционирования и использования web-pecypcoв кредитной организации;

— комплексный анализ предложений и замечаний различных пользователей web-pecypcoв по результатам их эксплуатации;

— модернизация организации создания и исполнения интернет-проектов в кредитной организации (включая взаимодействие ее подразделений);

— обеспечение информационной безопасности web-pecypcoв и контента, критично важного для кредитной организации и ее клиентов;

— замена скомпрометированных хакерами версий программного обеспечения web-pecypcoB.

Отдевьная дополнительная процедура в оптимальном варианте организации управления web-отношениями и их контроля подлежит разработке и внедрению в процесс УБР. Такая процедура включает:

анализ формируемых web-отношений кредитной организации;

выявление сопутствующих им источников компонентов банковских рисков;

анализ причин возникновения этих компонентов;

определение возможных мер подавления влияния таких источников[191];

оценку ресурсов, необходимых для парирования такого влияния;

мероприятия по организации дополнительного управления рисками;

функции по контролю над дополнительным управлением рисками;

дополнение отчетности для руководства кредитной организации.

В ряде публикаций зарубежных органов банковского регулирования и надзора вопросам управления web-представительствами уделяется специальное внимание, поскольку от его качества непосредственно зависят наличие и уровни специфических компонентов репутационного, правового, операционного, а иногда и стратегического банковских рисков (с учетом того, что Интернет фактически уже является «наиболее массовым» средством массовой информации). Эти компоненты в совокупности могут возникать из-за того, к примеру, что:

— приводимая на web-страницах банковская информация содержит ошибки (что в российском банковском секторе не редкость)[192];

— функционирование web-сайта неудобно для клиентов (как реальных, так и потенциальных);

— web-сайты кредитных организаций недостаточно информативны или поиск необходимой клиентам информации затруднен;

— web-сайты кредитных организаций недостаточно надежны в функциональном плане;

— используемые кредитными организациями web-сайты недостаточно защищены от внешних воздействий[193] и т. п.

Приведенные перечни целесообразно использовать исполнительным органам кредитной организации в ходе циклической реорганизации процесса УБР при ДБО, вводе в эксплуатацию или при лизинге новых web-сайтов, используемых в банковской деятельности, новых сервисов, для которых используется технология интернет-банкинга и web-порталы и т. п. Все эти мероприятия прямо связаны с адаптацией рассматривавшихся выше внутрибанковских процессов и составляющих их процедур к новым условиям осуществления банковской деятельности, создаваемым технологиями ДБО.

В завершение главы уместно привести цитату из упоминавшейся коллективной работы органов банковского регулирования и надзора США, посвященной анализу факторов риска, сопутствующих web-связям[194]: «Управленческий аппарат должен эффективно планировать, реализовать и контролировать web-отношения своего финансового учреждения. Под это подпадают ситуации, в которых web-сайт данного учреждения создается, оформляется или ведется сторонним провайдером. Имеется несколько методов управления подверженностью финансового учреждения рискам, связанным с наличием web-отношений… Методы, используемые для управления конкретными рисками, обусловленными определенной web-связью, должны соответствовать уровню риска, свойственному данной связи».

Прежде всего при планировании кредитной организацией использования web-отношений необходимо точно определить виды услуг, а также содержание web-сайта, доступное его клиентам через web-связи. Руководству следует установить, соответствуют ли эти связи общему стратегическому плану учреждения. В число процедур, полезных при планировании web-отношений, входит анализ:

— содержания обязательств в отношении третьих сторон, с которыми данная организация собирается устанавливать связи, и их выполнения;

— содержания письменных соглашений с третьими сторонами (в широком смысле: договоров и контрактов);

— потенциальных правовых последствий, обусловленных невыполнением третьей стороной своих обязательств перед кредитной организацией.

Если речь идет об использовании технологии web-портала или web-сайта сторонней организации, то желательно провести изучение содержания выполнения потенциальных обязательств, чтобы определить, стоит ли ассоциироваться с качеством продуктов, услуг и общим содержанием, предлагаемыми третьей стороной на своих web-сайтах. При этом в упомянутых материалах отмечается, что «финансовому учреждению следует более внимательно рассмотреть связанные с продуктами обязательства, если третьи стороны предлагают финансовые продукты, услуги или другое содержание web-сайта финансового характера. В этом случае клиенты могут с большей вероятностью предположить, что данным финансовым учреждением изучены и одобрены такие продукты и услуги». В дополнение к изучению финансовой информации третьей стороны и характеристик обслуживания ею своих клиентов желательно рассмотреть дополнительную информацию о ней, оценив соответствие ее деятельности законам и другим нормативным актам, а также не могут ли связанные объявления рассматриваться как вводящая в заблуждение реклама.

Из проведенного краткого рассмотрения ясно, что главная роль в предотвращении большого числа мелких затруднений и неприятностей, связанных с реализацией web-отношений, принадлежит корпоративному управлению в кредитной организации. Именно с его помощью объединяются в адаптационном мета-процессе внутрибанковские процессы внедрения ИТ, УБР, ОИБ, ВК, правового и документарного обеспечения банковской деятельности в форме ДБО. Они же в свою очередь должны поддерживаться совокупностями внутрибанковских документов, в которых в том числе раскрывается содержание web-отношений и их особенности. К сожалению, реальная ситуация в российском банковском секторе усугубляется тем, что наблюдающаяся до настоящего организация ДБО характеризуется типичными недостатками в описаниях и организации внутрибанковских процессов, из-за чего часто реализуются источники компонентов типичных банковских рисков.

Несмотря на новизну предложенной тематики, рассмотренные в книге вопросы становятся все более актуальными для кредитных организаций российского банковского сектора, в функционировании которого ДБО занимает важное место, а в его рамках — отношения с клиентами и сторонними организациями. Современное банковское дело, немалая доля которого уже принадлежит виртуальному пространству, особенно при осуществлении ее через ресурсы Интернета, требует новых методов как анализа факторов и источников компонентов типичных банковских рисков, так и управления этими рисками.

Прежде всего при создании представительств кредитной организации в Сети целесообразно решать общие вопросы распределения обязанностей и ответственности в части ИБ, подконтрольности, подотчетности и т. п., что является прерогативой руководства организации, принимавшего решение о переходе к ДБО в форме ИБ. Необходимо отметить, что при кажущейся простоте этого вопроса количество функций, которые следует правильно определить и распределить между структурными подразделениями кредитной организации, достаточно велико. С учетом ограничений, налагаемых на объем книги, в качестве только лишь основных из них необходимо указать:

1) планирование развития web-ресурсов (разного рода) в соответствии со стратегическим и бизнес-планами данной организации;

2) анализ потребностей в ИБ кредитной организации в целом и ее структурных подразделений (информационных, коммуникационных, операционных);

3) организацию проектирования в кредитной организации представительств в Сети и координацию работ, выполняемых ее структурными подразделениями;

4) внесение дополнений в положения о структурных подразделениях, которые будут связаны с интернет-проектами и web-отношениями;

5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки[189];

6) подготовку исходных данных на интернет-проекты, технических заданий (ТЗ) на создание web-ресурсов и дополнений к ним;

7) управление разработкой web-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);

8) выбор провайдеров в части разработки, хостинга, сопровождения web-pecypcoв кредитной организации и обеспечения их функционирования[190];

9) контроль функциональности web-pecypcoв и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;

10) изучение состава и содержания возникающих web-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;

11) обеспечение резервирования web-pecypcoв и связанных с ними маршрутов передачи банковских и клиентских данных;

12) определение порядка формирования контента web-страниц, включая его согласование, утверждение в кредитной организации и верстку;

13) определение необходимости в каком-либо функциональном наполнении web-страниц (активными компонентами), его состава и содержания;

14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;

15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией web-ресурсов;

16) модернизацию (редизайн и реинжиниринг) web-pecypcoв в процессе развития банковского бизнеса через Сеть;

17) сопровождение web-pecypcoв в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);

18) определение способов и средств замены web-pecypcoв в случае их отказа (альтернативные каналы взаимодействия с клиентами);

19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);

20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу web-pecypcoв.

Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:

— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование web-pecypcoв;

— организация форс-мажорного управления web-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);

— принятие решений относительно необходимости дополнительной обработки информации, поступающей через функционал web-pecypcoв;

— анализ возникающих технических проблем (на всех этапах жизненного цикла web-проектов);

— анализ статистики посещаемости web-pecypcoв для определения путей их развития;

— анализ эффективности функционирования и использования web-pecypcoв кредитной организации;

— комплексный анализ предложений и замечаний различных пользователей web-pecypcoв по результатам их эксплуатации;

— модернизация организации создания и исполнения интернет-проектов в кредитной организации (включая взаимодействие ее подразделений);

— обеспечение информационной безопасности web-pecypcoв и контента, критично важного для кредитной организации и ее клиентов;

— замена скомпрометированных хакерами версий программного обеспечения web-pecypcoB.

Отдевьная дополнительная процедура в оптимальном варианте организации управления web-отношениями и их контроля подлежит разработке и внедрению в процесс УБР. Такая процедура включает:

анализ формируемых web-отношений кредитной организации;

выявление сопутствующих им источников компонентов банковских рисков;

анализ причин возникновения этих компонентов;

определение возможных мер подавления влияния таких источников[191];

оценку ресурсов, необходимых для парирования такого влияния;

мероприятия по организации дополнительного управления рисками;

функции по контролю над дополнительным управлением рисками;

дополнение отчетности для руководства кредитной организации.

В ряде публикаций зарубежных органов банковского регулирования и надзора вопросам управления web-представительствами уделяется специальное внимание, поскольку от его качества непосредственно зависят наличие и уровни специфических компонентов репутационного, правового, операционного, а иногда и стратегического банковских рисков (с учетом того, что Интернет фактически уже является «наиболее массовым» средством массовой информации). Эти компоненты в совокупности могут возникать из-за того, к примеру, что:

— приводимая на web-страницах банковская информация содержит ошибки (что в российском банковском секторе не редкость)[192];

— функционирование web-сайта неудобно для клиентов (как реальных, так и потенциальных);

— web-сайты кредитных организаций недостаточно информативны или поиск необходимой клиентам информации затруднен;

— web-сайты кредитных организаций недостаточно надежны в функциональном плане;

— используемые кредитными организациями web-сайты недостаточно защищены от внешних воздействий[193] и т. п.

Приведенные перечни целесообразно использовать исполнительным органам кредитной организации в ходе циклической реорганизации процесса УБР при ДБО, вводе в эксплуатацию или при лизинге новых web-сайтов, используемых в банковской деятельности, новых сервисов, для которых используется технология интернет-банкинга и web-порталы и т. п. Все эти мероприятия прямо связаны с адаптацией рассматривавшихся выше внутрибанковских процессов и составляющих их процедур к новым условиям осуществления банковской деятельности, создаваемым технологиями ДБО.

В завершение главы уместно привести цитату из упоминавшейся коллективной работы органов банковского регулирования и надзора США, посвященной анализу факторов риска, сопутствующих web-связям[194]: «Управленческий аппарат должен эффективно планировать, реализовать и контролировать web-отношения своего финансового учреждения. Под это подпадают ситуации, в которых web-сайт данного учреждения создается, оформляется или ведется сторонним провайдером. Имеется несколько методов управления подверженностью финансового учреждения рискам, связанным с наличием web-отношений… Методы, используемые для управления конкретными рисками, обусловленными определенной web-связью, должны соответствовать уровню риска, свойственному данной связи».

Прежде всего при планировании кредитной организацией использования web-отношений необходимо точно определить виды услуг, а также содержание web-сайта, доступное его клиентам через web-связи. Руководству следует установить, соответствуют ли эти связи общему стратегическому плану учреждения. В число процедур, полезных при планировании web-отношений, входит анализ:

— содержания обязательств в отношении третьих сторон, с которыми данная организация собирается устанавливать связи, и их выполнения;

— содержания письменных соглашений с третьими сторонами (в широком смысле: договоров и контрактов);

— потенциальных правовых последствий, обусловленных невыполнением третьей стороной своих обязательств перед кредитной организацией.

Если речь идет об использовании технологии web-портала или web-сайта сторонней организации, то желательно провести изучение содержания выполнения потенциальных обязательств, чтобы определить, стоит ли ассоциироваться с качеством продуктов, услуг и общим содержанием, предлагаемыми третьей стороной на своих web-сайтах. При этом в упомянутых материалах отмечается, что «финансовому учреждению следует более внимательно рассмотреть связанные с продуктами обязательства, если третьи стороны предлагают финансовые продукты, услуги или другое содержание web-сайта финансового характера. В этом случае клиенты могут с большей вероятностью предположить, что данным финансовым учреждением изучены и одобрены такие продукты и услуги». В дополнение к изучению финансовой информации третьей стороны и характеристик обслуживания ею своих клиентов желательно рассмотреть дополнительную информацию о ней, оценив соответствие ее деятельности законам и другим нормативным актам, а также не могут ли связанные объявления рассматриваться как вводящая в заблуждение реклама.

Из проведенного краткого рассмотрения ясно, что главная роль в предотвращении большого числа мелких затруднений и неприятностей, связанных с реализацией web-отношений, принадлежит корпоративному управлению в кредитной организации. Именно с его помощью объединяются в адаптационном мета-процессе внутрибанковские процессы внедрения ИТ, УБР, ОИБ, ВК, правового и документарного обеспечения банковской деятельности в форме ДБО. Они же в свою очередь должны поддерживаться совокупностями внутрибанковских документов, в которых в том числе раскрывается содержание web-отношений и их особенности. К сожалению, реальная ситуация в российском банковском секторе усугубляется тем, что наблюдающаяся до настоящего организация ДБО характеризуется типичными недостатками в описаниях и организации внутрибанковских процессов, из-за чего часто реализуются источники компонентов типичных банковских рисков.

Несмотря на новизну предложенной тематики, рассмотренные в книге вопросы становятся все более актуальными для кредитных организаций российского банковского сектора, в функционировании которого ДБО занимает важное место, а в его рамках — отношения с клиентами и сторонними организациями. Современное банковское дело, немалая доля которого уже принадлежит виртуальному пространству, особенно при осуществлении ее через ресурсы Интернета, требует новых методов как анализа факторов и источников компонентов типичных банковских рисков, так и управления этими рисками.