Книга: Применение технологий электронного банкинга: риск-ориентированный подход
3.2. Основные внутрибанковские процессы, связанные с электронным банкингом
3.2. Основные внутрибанковские процессы, связанные с электронным банкингом
Вне зависимости от того, какая именно ТЭБ внедряется кредитной организацией, адаптации (модернизации) и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации и заканчивая должностными инструкциями конкретных исполнителей и квалификационными требованиями к ним. Принятие соответствующих решений является, естественно, прерогативой высшего руководства кредитной организации, что уместно четко и однозначно определить в ее документах, определяющих ролевые функции совета директоров и высшего менеджмента.
Поэтому тем кредитным организациям, которые «смело смотрят в будущее» и намерены активно поддерживать имидж «Банка XXI века», логично разработать и внедрить специальный новый внутрибанковский процесс, ориентированный на внедрение инноваций.
Об этом, насколько известно автору, «нигде и никогда» не пишут, а на самом деле ситуация далеко не так проста, как может показаться. Вероятно, особенно важно задуматься о желательности такого процесса, если вспомнить о связанных с внедрением новых технологий компонентах стратегического, операционного, правового и репутационного рисков. Основным содержанием этого процесса является упоминавшийся «проактивный» анализ, ориентированный преимущественно на:
1) изучение содержания и особенностей новой технологии банковского обслуживания, включая анализ ресурсной базы кредитной организации;
2) разработку сценария внедрения технологии и необходимых организационных мероприятий (описание «переходного периода»);
3) оценку потенциальной клиентской базы технологии, возможных тарифов (доходности), рентабельности и требований к клиентам;
4) оценку требований к аппаратно-программному, информационному и административно-организационному обеспечению технологии;
5) оценку требований к квалификации специалистов, связанных с обеспечением применения технологии, и возможной их переподготовке;
6) оценку изменений в процессе УБР, возникновении новых процедур и квалификационных требованиях к его персоналу;
7) оценку изменений в политике обеспечения информационной безопасности, реализующих ее в процедурах и работе соответствующего подразделения;
8) оценку изменений в организации и содержании внутреннего контроля, а также во внутрибанковской системе этого контроля в целом;
9) оценку возможных изменений в мероприятиях, относящихся к финансовому мониторингу, и дополнительного обеспечения его поддержки;
10) оценку изменений в правовом обеспечении банковской деятельности и его квалификационной поддержке;
11) оценку изменений в содержании работы сервис-центра и претензионной работы с клиентами и необходимости новых информационных связей;
12) определение содержания договоров с клиентами, обслуживаемыми дистанционно, и снижение уровней рисков, связанных с ними;
13) определение содержания контрактов с провайдерами и обеспечение контроля их функционирования (соглашения об уровне обслуживания[74]);
14) перераспределение функциональных ролей, обязанностей и ответственности в иерархической структуре организации;
15) достижение согласованности взаимосвязанных внутрибанковских процессов на уровне процедур, включая новые (например, для провайдеров);
16) оценку изменений, которые потребуется внести в информационные системы управления (ИСУ) или системы ППР.
Это только основные компоненты нового внутрибанковского процесса, причем в зависимости от специфики деятельности конкретной коммерческой организации они тоже могут варьироваться по содержанию отдельных процедур. Желательно, кстати, учитывать, что в сфере современной банковской деятельности наибольшее значение имеет именно информационное обеспечение, т. е. необходимо быть уверенным в гарантиях полноты, целостности и своевременности предоставления данных, необходимых для реализации эффективного управления и контроля, независимо от специфики той или иной технологии ДБО. Излишне говорить, что с переходом значительного количества процедур, составляющих банковскую деятельность, в виртуальное киберпространство получение таких гарантий может оказаться весьма затруднительным. Поэтому бывают ситуации, когда может быть лучше даже не торопиться с внедрением многообещающих, но «мало понятных» с позиций традиционных процессов управления и контроля технологий ДБО, а сначала подготовить как следует надежную почву для их внедрения и результативного (в том числе безопасного!) использования. Что, собственно, и имеется обычно в виду под «пруденциальной» организацией условий применения таких технологий.
Очевидно, что все перечисленные выше составные элементы нового внутрибанковского бизнес-процесса представляют собой в свою очередь достаточно специфические процедуры, которые сами требуют специальных решений и мероприятий, организация которых и контроль над которыми являются прерогативой органов управления кредитной организации. Очевидно, что самым важным фактором адекватной реализации этих процедур является осознание их необходимости. В качестве примера, взятого из зарубежной практики банковского регулирования и надзора, можно привести основания для этого: считается, что в составе совета директоров высокотехнологичной кредитной организации должны находиться руководители, имеющие подготовку в области, как говорят, «электронных банковских технологий», обеспечения информационной безопасности и других связанных с ними дисциплин[75]. При этом «во главу угла» ставится обеспечение адекватности системы управления и контроля в таких организациях сложности и масштабам их деятельности с учетом используемых технологий банковского обслуживания, в первую очередь технологий ДБО.
Рассматриваемый бизнес-процесс должен, естественно, опираться на реальные внутрибанковские ресурсы, так что если говорить о его практической интерпретации, то органам управления кредитной организации логично организовать его как подобие своего рода научно-исследовательской работы. Для ее выполнения необходимы прежде всего специалисты в области ИТ, причем из состава как минимум пяти служб[76]: информатизации (автоматизации), операционной (включая маркетинг), обеспечения информационной безопасности, внутреннего контроля и юридической. Каждый из них должен получить и выполнить свое «задание»:
первые — решение вопросов ТЭО, первого, второго, четвертого, пятого, седьмого, девятого и тринадцатого направлений;
вторые — решение вопросов по второму, третьему, одиннадцатому и двенадцатому направлениям;
третьи — решение вопросов по первому, четвертому, пятому и тринадцатому направлениям;
четвертые — решение вопросов по первому, четвертому — шестому и восьмому направлениям;
пятые — решение вопросов по первому, шестому, десятому — тринадцатому направлениям.
Направления с 14 по 16 требуют участия руководства кредитной организации (ее исполнительных органов) и всех перечисленных служб. Приведенное перечисление охватывает опять-таки лишь основных специалистов и функции, которые целесообразно было бы включать в обеспечение нового внутрибанковского бизнес-процесса в кредитной организации.
Далее требуются конкретные финансовые средства на внедрение и развитие новой технологии ДБО, причем здесь уместно задуматься и о некотором резервировании, поскольку все возможные затраты изначально предусмотреть невозможно. Считается, что изначально внедрение системы ДБО, такой, как, например, интернет-банкинга, может потребовать существенных инвестиций, однако они быстро себя окупают, и кредитная организация вместе с ростом клиентской базы ДБО начинает получать ощутимую прибыль. Это соответствует действительности (как по данным зарубежных исследований, так и по информации, полученной в ряде российских кредитных организаций). Тем не менее на практике такое внедрение нередко означает реализацию различных как бы «мелких» рисковых компонентов, которые, впрочем, могут оказаться вполне значимыми в смысле стратегического, правового и репутационного рисков, а иногда и операционного, и неплатежеспособности. Ясно, что процессы управления в кредитных организациях, так или иначе связанные с внедрением, эксплуатацией, сопровождением, модернизацией банковских информационных технологий, логично строить с учетом соответствующих прямых и обратных связей в ПСУ или системе ППР. Типичными примерами в этой проблемной области являются:
— «стыковка» действующих и новых банковских автоматизированных систем (они проявляются, как правило, в так называемых «информационных сечениях», и эти сечения должны являться предметом самого пристального внимания специалистов кредитных организаций по информационным технологиям, обеспечению информационной безопасности и внутреннему контролю особенно в случае заказных разработок или приобретения системы ДБО «под ключ», что вполне типично[77]);
— несоответствие функциональных возможностей заказанной или приобретенной «под ключ» системы ДБО реальным деловым потребностям кредитной организации и (или) ее клиентов (следствием чего практически всегда является «заплаточный» способ подгонки уже проданной (приобретенной) системы за счет переписывания и замены программных модулей, «дописывания» (в смысле программирования) дополнительных функций, ошибки в преобразовании (конвертировании) форматов передаваемых файлов и т. п., причем все это чаще всего делается без должного документарного оформления, тестирования и (или) приемо-сдаточных испытаний и т. д.);
— неправильный расчет производительности систем ДБО, что часто связано с недостатками как в маркетинговой политике (реализация стратегического риска), так и в ТЭО (операционный и репутационный риски), а также отсутствие контроля динамики развития данного бизнес-направления (в широком смысле, о котором говорилось в предыдущем разделе) и прогнозирования его дальнейшего развития (или наоборот, что тоже случается);
— наличие недостатков в обеспечении информационной безопасности и защите банковской и клиентской информации (кстати, такие факты нередко являются следствием пренебрежения органами управления кредитной организации реальными ее потребностями в средствах защиты внутрибанковских локальных вычислительных сетей и, возможно, зональных сетей такого рода, а также недостаточного внимания к контролю над распределенными компьютерными системами провайдеров, через которые могут осуществляться разного рода сетевые атаки);
— несовершенство системы внутреннего контроля и функционирования службы внутреннего контроля, выражающееся в том прежде всего, что модернизация ее деятельности отстает от развития и совершенствования банковской деятельности, особенно от изменений, вносимых в ее аппаратно-программное и информационное обеспечение (в настоящее время известно уже много случаев использования систем ДБО для финансовых преступлений и разного рода противоправной деятельности).
Настало время понимания того, что, поскольку каждое внедрение любого из вариантов технологий электронного банкинга способно существенно изменить бизнес-модели кредитной организации, оно неизбежно влияет на ее внутрибанковские процессы, обеспечивающие банковскую деятельность. Поэтому целесообразно на основе понятия «жизненного цикла» (ЖЦ), как отмечалось в параграфе 2.1, адаптировать к новым способам и условиям осуществления банковской деятельности (как минимум) следующие процессы:
— документарного обеспечения банковской деятельности (требуются новые порядки, регламенты, внесение изменений в положения о структурных подразделениях и должностные инструкции и пр.);
— управления банковскими рисками (требуются описания новых компонентов этих рисков);
— информатизации (автоматизации) банковской деятельности (требуется освоение новой технологии и аппаратно-программного обеспечения, создание механизмов администрирования, сопровождения СЭБ и т. д.);
— правового (юридического) обеспечения банковской деятельности (требуется разработка новых вариантов договоров с клиентами, распределения прав и ответственности, комплаенс-контроля и т. д.);
— обеспечения информационной безопасности (требуется обновление политики обеспечения информационной безопасности, разработка моделей угроз безопасности и сценариев их развития, мер по их парированию и т. п.);
— внутреннего контроля — общей системы и соответствующей службы в ее составе (требуется разработка контроля, сопровождаемая дополнением совокупной квалификации);
— финансового мониторинга (требуется разработка новых методик, программ, средств и механизмов мониторинга, моделей угроз);
— обслуживания клиентов (включая сервис-центр) и претензионной работы (требуется освоение нового ИКБД и дополнительное информационное обеспечение, сопровождаемые дополнением совокупной квалификации).
Одновременно необходимо внедрить новый процесс и реализующие его процедуры организации взаимоотношений с провайдерами (требующей решения технических и юридических вопросов, а также дополнения ролевых функций перечислявшихся выше служб кредитной организации).
Понятие ЖЦ стало уже привычным в отношении банковских автоматизированных систем и других информационных систем кредитных организаций, тогда как понятие ЖЦ внутрибанковского процесса таковым пока еще не стало (о чем свидетельствуют многочисленные ошибки, допускаемые в кредитных организациях при внедрении ими новых банковских информационных технологий). Собственно цикл определяется темпом инноваций, поскольку практически любое нововведение такого рода приводит к смещению профиля риска кредитной организации, которое следует учесть в форме модернизации процесса УБР, а затем в адаптации перечисленных выше внутрибанковских процессов. Таким образом, еще одним постулатом обеспечения надежной банковской деятельности является целесообразность понимания и осознания возникновения цикличности этих процессов, чего до внедрения в деятельность кредитных организаций технологий и реализующих их систем электронного банкинга практически не наблюдалось (ввиду отсутствия необходимости в этом при традиционной организации банковского дела).
В качестве примера можно напомнить, что уже одно лишь использование web-сайта в банковской деятельности предполагает понимание, с одной стороны, тех обязательств, которые принимает на себя кредитная организация перед, так сказать, «внешним миром», в первую очередь своими реальными и потенциальными клиентами, с другой стороны, того, какие именно условия необходимо обеспечить для выполнения этих обязательств. Обеспечение того и другого как раз и представляет собой определенный внутрибанковский процесс. Содержание такого web-сайта, естественно, целесообразно поддерживать актуальным (включая обеспечение целостности информации), в противном случае организация может оказаться подвержена действию ряда источников правового, репутационного и стратегического рисков. Следовательно, в оптимальном варианте, реализации которого должен способствовать процессный подход, в ней назначаются ответственные должностные лица за разработку (или ее организацию в случае заказа третьей стороне на выполнение этой работы), ведение, сопровождение, модернизацию web-сайта, наконец, за контроль его функционирования и содержания. Весь этот персонал (крайне нежелательно, чтобы это был только один специалист) целесообразно обеспечить такими документами, как политика кредитной организации в Сети[78], состав информационного обеспечения web-сайта (контент), должностные инструкции, порядок информационного взаимодействия (в управленческой иерархии), план действий на случай чрезвычайных обстоятельств. Это минимальный в данном случае набор; дополнительные функции и проблемные вопросы, связанные с web-сайтами, будут рассмотрены в главе 6.
Естественно, ответственность за упомянутое осознание лежит на совете директоров и высшем руководстве кредитной организации, от которых зависит принятие решений о переходе к ДБО. В связи с этим можно отметить также, что «недоработки высшего уровня» могут наблюдаться, даже начиная с устава кредитной организации, поскольку описания ролевых функций совета директоров, наблюдательного совета, исполнительных органов зачастую не содержат упоминаний об управлении информационными технологиями и контроле их применения. То же относится к описанию функций аудита (как внутреннего, так и внешнего), включая вопросы аудита информационных технологий и информационной безопасности, как будто банковская деятельность кредитной организации от этих технологий и реализующих их автоматизированных систем никак не зависит. Однако все изложенное в этой книге явно свидетельствует, что это не так.
- Глава 3 Жизненные циклы банковских автоматизированных систем и внутрибанковских процессов
- Основные параметры ЭЛТ-мониторов
- Основные "рычаги" управления производительностью
- 1.1. Информатика. Предмет информатики. Основные задачи информатики
- 11 Основные возражения и ответы на них
- 2.5. Разработка технического задания на проведение детального анализа рынка при работе над инновационным проектом. Основ...
- 3.1. Основные нормативные руководящие документы, касающиеся государственной тайны
- 1.4 Структуры данных, связанные с драйверами устройств Windows
- Риски, связанные с хостингом и потерей данных
- 11.4. Информационная безопасность и ее основные компоненты
- Рабочие процессы
- Основные неисправности приводов CD