Применение технологий электронного банкинга: риск-ориентированный подход

в программах и методиках ПСИ (как минимум), а лучше на более ранних этапах испытаний.

Применение любой СЭБ предполагает ответственное отношение руководства кредитной организации к определению порядка и содержания претензионной работы с клиентами ДБО. Поскольку в основном соответствующие мероприятия имеют отношение к сбоям в работе ее АПО или оборудования провайдеров, проведению расследований инцидентов информационной безопасности и решению спорных вопросов, связанных с ошибками, допускаемыми клиентами, т. е. разрешению конфликтных ситуаций в рамках этой работы, то базовый набор ее направлений можно считать определенным. Поэтому от исполнительных органов кредитной организации зависит организация и контроль осуществления разработки такого внутрибанковского документа, как «Порядок ведения претензионной работы при дистанционном банковском обслуживании»[175], содержание которого, во-первых, охватывало бы все технологии электронного банкинга, внедренные в кредитной организации (из чего следует наличие ее «доли» в метапроцессе электронного банкинга), во-вторых, соответствовало бы составу направлений (причин) возникновения угроз надежности банковской деятельности — с точки зрения клиентов ДБО.

Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких- либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае — и риска неплатежеспособности). Соответственно если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.

В случае же использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат). Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнес-планирования, ТЭО и т. п.).

В связи с изложенным необходимо предусмотреть формирование, поддержание и достаточно долгосрочное хранение доказательной базы по ордерам клиентов кредитной организации и предоставленным банковским услугам (прежде всего по выполненным в соответствии с ними операциям). Для этого в кредитной организации должны приниматься руководящие решения относительно определения состава клиентских и банковских данных, порядка их формирования и сопровождения (включая процедуры восстановления в нештатных ситуациях) и необходимые процедуры, входящие в состав определенного таким образом комплексного внутрибанковского процесса. Этот процесс (часть процедур которого относится к процессам ОИБ, ВК и ФМ) следует разработать и официально утвердить, распределить ответственность и обязанности, права и полномочия, управляющие и контрольные функции, а также организовать соответствующее управленческое наблюдение. Наиболее важными вопросами, которые необходимо решать при этом, является обеспечение целостности, доступности и конфиденциальности упомянутых массивов данных, однако надо заметить, дело не ограничивается взаимоотношениями кредитной организации и ее клиентов ДБО.

Руководству кредитной организации целесообразно четко осознавать необходимость наличия перечисленных процедур и гарантий с учетом требования Банка России, правоохранительных органов и других органов финансового контроля. В последние годы вместе с заметным обострением ситуации с ФМ в широком смысле и ПОД/ ФТ в частности (из-за чего за последние три года отозвано более сотни лицензий на осуществление банковских операций) актуальность приобрел вопрос своевременного предоставления заинтересованным федеральным учреждениям сведений о деятельности клиентов, в том числе клиентов ДБО. Для «удовлетворения» такого спроса сами кредитные организации, по-видимому, должны быть заинтересованы в том, чтобы требуемую информацию можно было предоставить, не вызывая ненужных подозрений у представителей этих учреждений. Поэтому логично видеть связь этой проблематики с претензионной работой с клиентами и развитием ДБО.

Для этого руководству высокотехнологичной кредитной организации целесообразно оптимально (т. е. полно и адекватно) сформулировать задачу «правильного выстраивания» отношений с клиентами ДБО и контрагентами, которая нередко если и не выходит на первый план, то весьма близка к этому. В оптимальном варианте такое понимание находит свое отражение прежде всего в тех внутрибанковских документах, которые регламентируют:

— осуществление ДБО, эксплуатацию СЭБ и сопровождение функционирования поддерживающих его компьютерных систем;

— изучение структуры типичных банковских рисков и определение их компонентов, уровни которых могут оказаться значимыми;

— выделение значимых компонентов банковских рисков, источники которых концентрируются в клиентской зоне риска;

— определение последствий реализации выделенных компонентов банковских рисков, их структурной принадлежности и влияния;

— определение мероприятий, подлежащих выполнению для исключения или парирования влияния компонентов банковских рисков.

Приведенный перечень уточняется кредитной организацией исходя из установленных потенциальных уязвимостей, архитектуры ИКБД, доступных ресурсов, ожидаемых последствий (правовых, репутационных, стратегических) реализации компонентов банковских рисков и т. д.

В случаях недостаточной проработки вопросов, связанных с защитой прав клиента ДБО и обеспечением выполнения обязательств перед ним, что отражается (или должно было бы отражаться) прежде всего в договоре на ДБО, лишняя (и совершенно необязательная) «головная боль» кредитной организации гарантирована. Впрочем, практика изучения содержания договоров такого рода свидетельствует, что кредитные организации обычно оговаривают для себя отсутствие ответственности за прерывания обслуживания удаленных клиентов в связи с какими бы то ни было обстоятельствами. При этом нередко о каких-либо правовых последствиях, не выполнении взятых на себя обязательств, ущербе, нанесенном клиенту (в том числе в форме невыполнения им своих финансовых обязательств перед третьей стороной) и т. п. речи в текстах не идет. Впрочем, ситуация вроде бы облегчается тем, что, судя по содержанию договоров, клиентов ДБО эта проблематика совершенно не беспокоит, но, как выясняется впоследствии, лишь до нанесения им реального ущерба, когда случившееся может оказаться для них уже необратимым (в смысле финансовых потерь).

В оптимальном варианте организации ДБО сценарии такого рода отражаются (прямо или косвенно) прежде всего в содержании договоров на такое обслуживание, внутренних порядках кредитной организации (начиная с УБР) и должностных инструкциях ее специалистов, что и представляет собой первый результат ориентированного на выявление источников рисков процесса анализа в форме конкретной процедуры, которую можно продемонстрировать клиентам и впоследствии Банку России. Тщательность проработки текстов договоров, безусловно, послужит на пользу обеим сторонам, поскольку предусмотреть удастся если и не все, то большинство проблемных и (или) кризисных ситуаций (угроз),