«одним из ее лиц», однако документы, регламентирующие разработку (или подход к ней), ведение, сопровождение и контроль web-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций найти не удается. Понятно, что в этом случае причины отсутствия руководящего банковского внимания к «каким-то там» web- сайтам все те же, но на сегодняшний день уже не одна отечественная кредитная организация столкнулась с направленными в «ее web-адрес» проявлениями «недобросовестной конкуренции».
Как бы то ни было, вне зависимости от расположения и ведения web-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.
Возможно, столь глубокое проникновение в проблематику «web-обусловленных» источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология так называемых «web-порталов», предлагаемый подход уместно принять к сведению. Конечно, многие из web-сайтов кредитных организаций содержат web-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум, руководству таких организаций следует знать о связанных с этими обстоятельствами возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется и определяется именно органами управления кредитной организации. Наибольшее число web-отношений, в которые вступает кредитная организация при «выходе в Сеть», можно классифицировать по трем видам:
взаимодействие с клиентами через посредство web-pecypcoв, обеспечивающих предоставление банковских услуг;
взаимодействие с провайдерами, обеспечивающими кредитную организацию web-ресурсами;
взаимодействие с другими web-ресурсами через посредство гиперссылок (web-связей).
Первый случай характеризуется возможностями прямого проявления влияния «интернет- компонентов» банковских рисков через структуры распределенных компьютерных систем, второй — негативным проявлением наличия как сторонних организаций в ИКБД, так и функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами, третий же представляет собой взаимодействие опосредованное, но, как свидетельствует практика, также связанное с факторами банковских рисков. При этом уровни сопутствующих компонентов таких рисков прямо зависят как от архитектурных сетевых решений, так и от содержания контрактов, определяющих обязательства сторон при осуществлении и обеспечении ДБО.
В части причин возникновения новых и совершенно немотивированных причин нежелательного смещения профиля риска кредитной организации сказанное отражается на всех видах web-отношений. Прежде всего необходимо отметить, что в кредитных организациях, как правило, отсутствуют внутрибанковские документы, содержащие описание распределения ответственности в отношении тех или иных провайдеров по подразделениям. Точно так же, как правило, «по умолчанию» принимается, что вся необходимая кредитной организации работа в части доступа к ресурсам Интернета и использования web-представительств планируется, организуется и реализуется ее подразделением, отвечающим за ИТ «вообще» (информатизацию или автоматизацию). При этом, как следствие, в кредитной организации отсутствует официально утвержденное формальное описание распределения обязанностей и ответственности по видам соответствующих провайдеров. Результатом этого оказывается полная зависимость содержания и качества процесса взаимодействия с провайдерами от менеджеров среднего уровня (развития процесса), а то и от отдельных исполнителей, которые в отсутствие регламентирующих внутрибанковских документов начиная с порядка использования СЭБ действуют в рамках своего понимания этой проблематики — т. е. сути и степени зависимости банковской деятельности от конкретных провайдеров — и собственной квалификации (уровень 2).
Вместе с этим необходимо подчеркнуть, что возникновение и необходимость сопровождения web- отношений нередко не воспринимаются руководством кредитной организации как специфическая и достаточно важная для самой организации и ее клиентов задача (за исключением примеров, относящихся к крупным кредитным организациям, обладающим собственными департаментами ИТ). Вследствие этого возникновение и развитие таких отношений «автоматически» относится на сотрудников упомянутых подразделений, как правило, без учета возрастающей функциональной нагрузки, поскольку о содержании и объеме соответствующих обязанностей лица, принимающие решения, имеющие отношение к использованию кредитной организации представительств в Интернете, зачастую не знают. Эта нагрузка увеличивается по мере расширения присутствия кредитной организации в Сети, однако в рамках корпоративного управления банковской деятельностью этому зачастую не уделяется должного внимания. Это, кстати, относится не только к технологии ИБ, ситуация совершенно аналогична для любых вариантов ДБО.
Точно так же и ответственность за выбор провайдеров кредитной организации, организацию и контроль взаимоотношений с ними, а также их состояния с точки зрения их надежности, в кредитных организациях документально чаще всего не определена, поскольку считается, что для решения любых вопросов такого рода достаточно действий менеджеров среднего звена, действующих в рамках своей компетенции. Следствием такого подхода может оказаться (как минимум) чрезмерно затратная политика кредитной организации в отношении провайдеров и повышение уровней компонентов банковских рисков, которые зависят от качества выполнения своих функций провайдерами. Крайним же негативным вариантом может оказаться потеря контроля со стороны кредитной организации над функционированием web-pecypcoB, используемых ею в процессе банковской деятельности, следствием чего может стать возникновение неожиданных «web-неприятностей» и повышение уровней типичных банковских рисков. Ситуация с учетом потенциальных источников компонентов этих рисков может усугубиться, если в организации отсутствует специализированный внутрибанковский процесс управления web-сайтами и контроля их функционирования.
6.1. Web-отношения с клиентами
Частично вопросы организации и обеспечения взаимоотношений кредитной организации с клиентами ДБО были рассмотрены в главе 5, здесь же кратко рассматриваются их дополнительные особенности в рамках уже web-отношений, связанные, как отмечалось выше, с возможностями влияния компонентов типичных банковских рисков через распределенные компьютерных системы. Типичная ситуация характеризуется тем, что недостаточно «компьютерно-грамотный» клиент, использующий ДБО через некую СЭБ, заведомо принимает на себя дополнительные компоненты рисков банковской деятельности, как минимум, операционного риска (но не только). В то же время, поскольку клиенты кредитной организации при реализации таких компонентов банковских рисков всегда предъявляют претензии к ней (а не к провайдеру), для нее они трансформируются в компоненты правового, репутационного и стратегического рисков. Эффекты такого рода обычно классифицируются в качестве так называемого «взаимного влияния рисков», и учитывать их в методике управления рисками наиболее сложно.
Причина заключается в незнании клиентов того, что представляет собой ИКБД и какие «клиентские риски» целесообразно учитывать пользователю конкретной СЭБ (в части самого себя), а виновата в этом кредитная организация, точнее, отсутствие в ней установленного порядка информирования клиента об особенностях ТЭБ и СЭБ, которую он намерен использовать (а ее ВК, то есть
