Коммутационный — в этом варианте кредитная организация помимо предоставления информации о себе обеспечивает обмен информацией с клиентами, которые могут направлять ей сведения о себе, например об изменении адресных данных или реквизитов, передавать запросы, получать файлы форм или бланков и т. п. В таких случаях могут иметься физические связи между ее web-сайтом и ЛВС, вследствие чего руководству этой организации целесообразно обратить дополнительное внимание на противодействие реализации НСД, усиление антивирусной защиты и т. п., что требует организации дополнительных внутрибанковских процедур.
Операционный (транзакционный) — в этом варианте кредитная организация реализует ДБО с возможностью управления клиентом своими счетами (даже в масштабе времени, близком к реальному, из-за чего и возникло упоминавшееся ранее понятие «сквозной обработки»), Очевидно, что при таком варианте руководство кредитной организации должно уделять наиболее серьезное внимание вопросам ОИБ, поскольку могут возникать сетевые связи между «фронт-офисом» (перемещающимся в клиентскую зону концентрации источников риска) и ее «бэк-офисом», а значит, и последствия реализации компонентов банковских рисков могут оказаться также самыми серьезными.
В двух последних вариантах интернет-банкинга возможна реализация компонентов всех пяти типичных банковских рисков, о которых шла речь в главе 2, естественно, в тех случаях, когда содержанию процесса УБР, составу его процедур и связанных с ним внутрибанковских процессов руководством кредитной организации должного внимания не уделяется.
Обычно предполагается — и в этом выражается позиция как БКБН, так и североамериканских органов банковского регулирования и надзора, — что инициатива в образовании, реализации и контроле процедур такого рода (в свою очередь складывающихся во внутрибанковские бизнес-процессы) идет от органов управления кредитной организации. В то же время само проявление такой инициативы непосредственно связано со специфическими знаниями и квалификационными требованиями: их наличие как раз и выражается в осознании описанной проблематики. В части ДБО это относится как минимум к вопросам архитектуры и «физического» построения распределенных компьютерных систем и вычислительных сетей, контроля их функционирования, ОИБ, ВКи ФМ в кредитной организации. Тем самым предполагается наличие в составе органов управления кредитной организации, как подчеркивалось, специалистов с соответствующей квалификацией или, как отмечает БКБН, наличие в ней комитета, сформированного из специалистов, способных решать задачи по направлению ДБО.
Основной же проблемный фактор для кредитных организаций, осуществляющих процесс УБР в условиях применения ТЭБ и контроля над ним, заключается в том, что из-за различий в ее практической реализации возникает необходимость в точном учете конкретного состава реально действующих факторов и источников рисков в каждом отдельном случае. Из-за этого методика осуществления УБР оказывается заведомо индивидуальной для каждой кредитной организации, переходящей к ДБО. Следствием же этого становится необходимость тесного взаимодействия со службой УБР как минимум следующих подразделений кредитной организации: ИТ, ОИБ, ВК и ФМ, а также ее юридического обеспечения, сервис-центра и, возможно, операционных подразделений (в зависимости от установленного в кредитной организации распределения функций, обязанностей и ответственности). Работе этих подразделений и специфике, привносимой в ее организацию и содержание технологиями электронного банкинга, посвящены все следующие параграфы.
5.3. Адаптация информатизации банковской деятельности
Основное, что требуется для получения гарантий надежного и безопасного использования любой новой ИТ, — это обеспечение необходимой профессиональной квалификации и технической документации на реализующую ее АС. В условиях применения электронного банкинга, впрочем, к этому требованию добавляется понимание причин возникновения и особенностей реализации новых факторов и источников компонентов банковских рисков (включая ликвидацию «квалификационного разрыва», о котором говорилось ранее). Адаптация схемотехнического описания распределенных компьютерных систем и вычислительных сетей кредитной организации, включая ее филиалы и дополнительные офисы, задействованные в ИКБД, также имеет циклический характер. Это понимание целесообразно отразить во внутренних документах кредитной организации, например в таком, как «Политика внедрения и развития информационных технологий и автоматизированных систем», которая утверждается высшим руководством организации.
В соответствии с положениями такого документа при каждом внедрении новой ТЭБ логично предположить «запуск» очередного витка ЖЦ информатизации банковской деятельности с ее документарного обеспечения. Чрезвычайно полезно начинать его обновление с составления для каждого вновь формируемого канала доступа извне к информационно-процессинговым ресурсам кредитной организации схемы (диаграммы) потоков данных и их описания (включая узлы приема/передачи, обработки, хранения массивов данных, обозначения сетевых адресов и портов и т. п. — всего, что входит в топологию вычислительной сети). Зачастую эти элементарные (хотя и достаточно трудоемкие) мероприятия игнорируются, вследствие чего вся информация о размещении сетевых ресурсов и их функционировании хранится только в головах ответственных исполнителей. Такие ситуации представляют собой один из основных факторов риска для надежной работы БАС и СЭБ кредитной организации, особенно при наличии текучки кадров или образовании чрезмерной концентрации полномочий у каких-либо исполнителей в подразделении ИТ или ОИБ.
При принятии решения о переходе к ДБО клиентов руководителям и специалистам кредитной организации целесообразно проектировать и заранее закладывать в систему ДБО возможности ее масштабирования и повышения производительности, поскольку, как показывает практика, удачный с потребительской точки зрения вариант ДБО быстро приводит к резкому увеличению численности клиентуры, которая переходит к его использованию, а также объемов запрашиваемых ею банковских операций и сопутствующей информации. Одновременно возрастают финансовые потоки, управляемые дистанционно, — в то же время практика свидетельствует и о том, что немало кредитных организаций при развитии своего бизнеса в направлениях ДБО реально сталкиваются именно с нехваткой производительности СЭБ и БАС. В ряде случаев проблемы такого рода оказывается трудно решить не только без непредвиденных и заметных вложений в новое аппаратно-программное обеспечение, но также и без изменений в организационной структуре кредитной организации. Следствием этого, как правило, являются своего рода «наведенные» проблемы, возникающие одновременно с интеграцией новых систем ДБО с уже действующими операционными банковскими автоматизированными системами и системами информационного обеспечения руководства кредитной организации.
Степень зависимости результатов бизнеса от надежности компьютерных систем организации должна полностью осознаваться ее руководством и адекватно учитываться при распределении ресурсов. Важно отметить, что простое следование «требованиям времени», имея в виду наращивание кредитными организациями «технологических мышц», равно как и имиджевым соображениям, которые не обусловлены непосредственно стратегическим и бизнес-планами и т. п., скорее всего, приведет к реализации как компонентов операционного и стратегического риска (по минимуму), а если контроль над системами электронного банкинга окажется недостаточным, так и всех остальных из рассматриваемых здесь типичных банковских рисков. Такая ситуация хорошо иллюстрируется приведенной на рис. 5.4 карикатурой (с web-сайта www.cartoonbank.com).
Типичными проблемными вопросами, долгое время не решаемыми во многих отечественных кредитных организациях, остаются:
отсутствие планирования информатизации (политики информатизации);
неадекватное распределение ресурсов (остаточный принцип);
нехватка квалифицированного персонала (слабое знание новых систем);
недопустимое совмещение обязанностей (концентрация полномочий);
недостатки сетевых архитектур (доступность, уязвимость и т. п.);
незнание технологий провайдеров (источников компонентов банковских рисков);
недостаточный внутренний контроль (нехватка совокупной квалификации).
Наличие недостатков такого рода в части применения кредитной организацией ИТ для автоматизации банковской деятельности свидетельствует о существовании для нее серьезных и неучтенных факторов возникновения источников компонентов банковских рисков.