Применение технологий электронного банкинга: риск-ориентированный подход

распорядительных по характеру до должностных инструкций, предназначенных для ответственных исполнителей в кредитной организации (для этого целесообразно утвердить соответствующий распорядительный документ, который может и не быть акцентирован именно на ТЭБ и СЭБ, но «охватывать» и их применение). Только такой подход может в значительной степени гарантировать эффективность выполнения принятых решений и обеспечить требуемые функциональные характеристики автоматизированных систем (влияние человеческого фактора парируется эффективным «управленческим наблюдением» — в терминологии БКБН). При этом основные руководящие решения целесообразно обсуждать со специалистами, участвующими в перечисленных выше процессах, с точки зрения реализуемости и адекватности выполнения ими своих функций.

При таком подходе очередной виток ЖЦ документарного обеспечения банковской деятельности инициируется в кредитной организации еще до принятия решения о переходе к практической реализации проекта внедрения ТЭБ, поскольку без подготовительной работы не обойтись. При этом необходимо располагать перечнем входящих в его состав документов, первичное составление которого является наиболее трудоемким процессом, который несколько упрощается, если известен перечень подлежащих модернизации внутрибанковских процессов. Однако, какой бы сложной она ни казалась, удержать уровни банковских рисков в допустимых границах без ее решения крайне трудно (если вообще возможно), поскольку тогда негативное влияние человеческого фактора неизбежно.

Главное, что при этом целесообразно осознавать безусловное влияние любой ТЭБ на изменение состава и характера проявления многих источников компонентов банковских рисков, которые необходимо учитывать при организации УБР и для предотвращения которых существуют сами внутрибанковские процессы. Такое понимание в связи с переходом кредитной организации к ДБО на практике встречается редко. В то же время очевидно, что в отсутствие угроз надежности банковской деятельности, в безрисковой ситуации ни ОИБ, ни ФМ, ни ВК, ни другие внутрибанковские процессы не понадобились бы, тем не менее в банковской деятельности неизбежным и непростым связям между ними внимания уделяется незаслуженно мало (видимо потому, что реализующие их структурные подразделения кредитных организаций традиционно относят к так называемым «не зарабатывающим», не думая о том, что «зарабатывать» вообще позволяет именно эффективное парирование ими угроз, ассоциируемых с источниками тех самых компонентов).

Из сказанного можно сделать краткие выводы относительно изменений в характере и содержании упоминавшихся внутрибанковских процессов в кредитной организации, относящихся к осуществлению их регламентной циклической адаптации для приведения в соответствие тем условиям банковской деятельности, которые образуются с внедрением ТЭБ.

1. Для документарного обеспечения требуется составление документов более высокого, «общебанковского» уровня, в которых описывалась бы эта адаптация и указывались те внутрибанковские процессы и структурные подразделения кредитной организации, для которых разрабатывались бы новые редакции действующих документов. При этом на уровне мета-процесса предусматривается потенциальное возникновение необходимости в разработке новых, отсутствовавших до внедрения ТЭБ компонентов этого обеспечения.

2. Процесс УБР необходимо пересматривать ввиду появления большого числа не существовавших ранее источников компонентов банковских рисков, для воздействия на которые требуются новые процедуры, поддерживаемые рядом подразделений кредитной организации. На уровне мета-процесса формируются дополнительные схемы и механизмы взаимодействия между ними и предусматриваются дополнительные процедуры и функции в работе этих подразделений, ориентированные на подавление влияния таких источников.

3. Подразделение ИТ кредитной организации должно осваивать новую информационную технологию и СЭБ, реализующую внедряемую ТЭБ, обеспечивая то и другое в части аппаратно-программных средств (с учетом резервирования и ОИБ) и новой технической документации, включая руководства для клиентов ДБО и персонала подразделений организации. При этом учитывается необходимость повышения квалификации персонала, участие в составлении текстов договоров на ДБО и взаимодействия с провайдерами.

4. Служба ОИБ должна предусмотреть дополнительные меры по защите банковских автоматизированных систем кредитной организации и формированию ее периметра безопасности, включая внесение изменений в документы по ОИБ, внедрение соответствующего АЛО и разработку новых внутрибанковских документов, а также участие в составлении текстов договоров на ДБО и взаимодействии с провайдерами. Совместно со службами ИТ и ВК разрабатываются дополнительные программы и методики проверок ОИБ.

5. Служба ВК должна обеспечить наличие совокупной квалификации, необходимой для контроля использования и функционирования новой АС в кредитной организации, освоить внедряемую ТЭБ, разработать дополнительные программы и методики проверок, включая контроль процесса УБР, и формы отчетов для руководства, а совместно со службами ИТ и ОИБ — программы и методики проверок, контроля над провайдерами и SLA, планами действий на случай чрезвычайных обстоятельств, а также текстов договоров на ДБО.

6. Необходим учет особенностей электронного банкинга в документах кредитной организации, относящихся к ФМ или, как чаще говорят, «противодействию отмыванию денег и финансированию терроризма» (ПОД/ФТ)[106], равно как и модернизация самого этого процесса с участием служб ИТ, ВК, экономической безопасности и юридического обеспечения банковской деятельности. При этом предусматривается разработка новых процедур взаимодействия с клиентами в соответствии с требованиями Банка России.

7. Модернизация юридического обеспечения банковской деятельности кредитной организации должна охватывать приобретение новой квалификации, связанной с особенностями внедряемой ТЭБ, участие в составлении текстов договоров с клиентами ДБО и провайдерами, приведение внутрибанковского документарного обеспечения в соответствие с новыми условиями банковской деятельности, а комплайенс- контроля и претензионной работы — с применением СЭБ (совместно со службами ИТ, ОИБ и ВК/ФМ).

8. Необходимо совершенствование взаимодействия сервис-центра кредитной организации с клиентами ДБО за счет освоения его сотрудниками содержания и условий обеспечения нового направления банковской деятельности и формирования механизмов получения ими от других структурных подразделений информации о функционировании СЭБ в ее связи с БАС, а также дополнительного направления претензионной работы в связи с возможными спорными или конфликтными ситуациями, включая SLA с провайдерами.

9. Планы действий на случай чрезвычайных обстоятельств необходимо дополнить разделом, описывающим новые возможные угрозы надежности банковской деятельности, обусловленные форс- мажорными и другими ситуациями, которые могут привести к прерыванию ДБО, нарушению целостности, доступности или конфиденциальности банковских и клиентских данных, а также порядком восстановления функционирования СЭБ в ее связи с БАС кредитной организации, включая информирование клиентов об инцидентах.

10. Должно быть организовано взаимодействие с провайдерами с определением SIAh анализом в кредитной организации возникающих зависимостей, которые также следует описывать как в части управления сопутствующими компонентами банковских рисков, так и в части принятия мер по предупреждению их реализации и по резервированию аутсорсинга с учетом обеспечения возможностей перехода в чрезвычайных ситуациях на резервные средства и предоставления клиентам ДБО резервных вариантов взаимодействия.

Руководство успешной высокотехнологичной кредитной организации не может не осознавать значимости документарного обеспечения меняющейся, технологически и технически усложняющейся банковской деятельности. По существу, в ходе пересмотра содержания внутрибанковских документов и адаптации их к новым условиям руководством кредитной организации одновременно решаются задачи адаптации общебанковских процессов управления к применению новой банковской информационной технологии и контроля ее использования персоналом данной организации и ее клиентами, пользующимися ДБО. Важно подчеркнуть, кстати, что оценка уровней (качества) обоих этих процессов (менеджмента в целом) представителями контролирующих органов чаще и