Наиболее серьезные негативные последствия для кредитной организации, внедряющей какую-либо ТЭБ и соответствующую СЭБ, связаны с реализацией компонентов стратегического риска. Это нисколько не противоречит тому факту, что многие организации российского банковского сектора успешно прошли этапы внедрения и опытной эксплуатации систем ДБО, которые стали для них весьма прибыльными. Другое дело, что неудачные проекты, естественно, не приобретают известности, а не окупившиеся затраты на разработку сложных и дорогостоящих систем электронного банкинга становятся физической оценкой этого вида риска.
В общем случае компоненты стратегического риска связаны с возможными текущими и перспективными финансовыми потерями, обусловленными неправильными бизнес-решениями и (или) несоответствующей реализацией ключевых решений такого рода в кредитной организации, что приводит к невозможности достижения ею своих бизнес-целей и (или) чрезмерным затратам на внедрение и сопровождение используемых банковских технологий и автоматизированных систем. К ним относятся также неправильное распределение ресурсов, ошибки в выборе (способах, комбинации) видов предоставляемых банковских услуг, неадекватные принятым или планируемым бизнес-моделям технологические и организационно-технические решения, а также неоправданные вложения крупных средств в неперспективные проекты или банковские автоматизированные системы, ошибки, допущенные в маркетинговой, рыночной, конкурентной, технической политике и т.п. Важно учитывать также, что с этим видом банковского риска могут быть связаны все остальные четыре риска, которые рассматриваются здесь в приложении к технологиям электронного банкинга.
Такие связи неизбежно возникают и между компонентами стратегического риска, относящимися к ошибочным решениям. Тогда их негативный эффект может усилиться, поскольку сделанные в рамках проекта СЭБ затраты могут недостаточно контролироваться, особенно в тех случаях, когда неудачный проект затрагивает несколько внутрибанковских процессов и соответствующих структурных подразделений кредитной организации. Поэтому даже в тех случаях, когда преимущества нового бизнес-направления очевидны, нецелесообразно отказываться от типовых этапов внедрения автоматизированных систем, важнейшим из которых является подготовка и обсуждение технико-экономического обоснования (ТЭО). Тем не менее зачастую этот и другие связанные с ним документы в кредитных организациях просто отсутствуют, так что даже удачный проект может оказаться связан в итоге с существенными непредвиденными дополнительными расходами.
В зарубежной практике банковского регулирования и надзора считается уместным контролировать не только содержание планов информатизации (автоматизации) банковской деятельности, но также достаточность их обоснования и ход поэтапного выполнения, включая связанные с ними процедуры. Например, вновь внедряемая технология должна быть ориентирована на совершенно конкретную клиентуру, которая по данным, скажем, маркетинговых исследований воспользуется новыми сервисами, предлагаемыми кредитной организацией и реализуемыми с помощью той или иной СЭБ. Вместе с этим должны быть четко определены порядок ее внедрения, взаимодействия тех или иных специалистов кредитной организации с клиентами ДБО, вопросы поддержки со стороны сервис-центра, содержание возможной претензионной работы и т.д. Если речь идет о предполагаемом массовом продукте, то необходимо рассчитывать производительность СЭБ и БАС, организовать процедуры контроля динамики развития новых сервисов, роста клиентской базы и количества ордеров, поступающих в кредитную организацию, и пр.
Следует специально отметить, что при внедрении проектов электронного банкинга необходимо уделять внимание взаимным связям между внутрибанковскими процессами, без учета которых реализуются такие компоненты стратегического риска, которые нередко считаются косвенными или просто не учитываются. Например, внедрение СЭБ, реализующей принципы открытых систем и универсального протокола сетевого взаимодействия, приводит к необходимости пересмотра периметра безопасности кредитной организации, который заметно расширяется и вместе с клиентом ДБО «уходит за горизонт» и принятию серьезных новых мер по его защите, а также по контролю использования ТЭБ. На том и другом всегда делается акцент зарубежными органами банковского регулирования и надзора[48], о чем пойдет речь в параграфе, посвященном адаптации УБР. Между тем вносить изменения в связанные внутрибанковские процессы следует согласованно и не упуская из виду суть происходящих изменений, поскольку неадекватность организации процесса ФМ может привести к тому, что внедрение дорогостоящей СЭБ негативно скажется на «имидже» кредитной организации в глазах правоохранительных органов и неожиданно окажется стратегической ошибкой.
Уже этих примеров достаточно для того, чтобы охарактеризовать многообразие проявлений стратегического риска, особенно в связи с другими банковскими рисками. В этом плане недостаточная, с точки зрения клиентов кредитной организации функциональность банковских автоматизированных систем и (или) систем электронного банкинга, равно как неудобство в работе с ними, приводит, как правило, к негативной реакции пользователей СЭБ, которые либо отказываются от предлагаемых сервисов, либо переходят на обслуживание в другую кредитную организацию. Это приводит к неокупаемости такой автоматизированной системы по причинам репутационного плана, но результат всегда один, и только в лучшем случае он связан для кредитной организации с упущенной выгодой.
В российской практике электронного банкинга, пусть и не такой продолжительной, уже было немало случаев просчетов даже по приведенному выше небольшому перечислению проблемных вопросов. Типичная ситуация, связанная с реализацией компонентов стратегического риска, может развиваться как неумышленная атака типа «наводнение» (flood-attack), при этом ее причинами становятся и недостаточная производительность БАС и СЭБ, и отсутствие контроля характеристик динамики ДБО, и ошибки в расчетах требуемой пропускной способности каналов (линий) связи.
В качестве одного из примеров такого рода можно привести историю, произошедшую не так давно с российской кредитной организацией, в свое время являвшейся одним из лидеров ДБО: после того как в какой-то момент времени к ее системам электронного банкинга одновременно подключились около тысячи клиентов, направляемые ими ордера вызвали перегрузку производственных мощностей и организация была вынуждена остановить ДБО. Следствием этого, также непредвиденным, стало массовое обращение клиентов в ее сервис-центр, который не был рассчитан на такую нагрузку, так что получить объяснения относительно прерываний в обслуживании большинству клиентов оказалось невозможно. Этой кредитной организации пришлось в авральном порядке несколько дней заниматься техническим перевооружением, чтобы избежать реализации правового и репутационного рисков, но компоненты стратегического риска уже реализовались в незапланированных расходах на осуществление технической реорганизации. Всего этого можно было бы избежать, если бы в организации были бы заблаговременно приняты организационно-технические меры по оперативному (или, если не в режиме реального времени, то регламентному) контролю производительности банковских автоматизированных систем и приведению ее в соответствие с потребностями клиентов ДБО.
Аналогичная ситуация, но связанная уже с компонентами правового риска, возможна, если функциональные характеристики СЭБ и поддерживающей ее БАС недостаточны для гарантированного обеспечения информационной безопасности. При этом просчеты нередки не только из-за того, что имеются неконтролируемые информационные сечения между теми или иными системами и подсистемами в кредитной организации или в ИКБД, но часто из-за того, что не прогнозировались ошибки, допускаемые клиентами.
Руководству кредитной организации, принимая решение о переходе к ДБО через открытые системы (в том числе – через Интернет), целесообразно, по сути, провести некоторые специализированные исследования, в том числе в части оценки зависимости этой организации от «третьих лиц», присутствующих в ИКБД, прежде всего от провайдеров разного рода. Организация отношений с ними также может относиться к стратегическим решениям, так как известно, скажем, немало примеров сетевых атак, ориентированных на финансовые учреждения, но осуществлявшихся через компьютерные системы других компаний. Такая атака типа «распределенный отказ в обслуживании»[49] имела место и в отношении уже упоминавшейся кредитной организации, причем обращение ее специалистов к провайдерам с просьбой помочь парировать ложный трафик нашли отклик далеко не у всех таких компаний. Те, кто отказался помочь, ссылались на контрактные обязательства, которые касались только обеспечения конкретных каналов (линий) связи, их пропускной способности, поддержки серверов и т.п., но не содействия в организации сетевой защиты и участия в ней. В итоге этой кредитной организации пришлось пересматривать, а точнее, строить заново свою «политику отношений» с провайдерами. Кстати, это до настоящего времени «больной» вопрос для многих кредитных организаций, особенно тех, кто работает в условиях недостаточно развитой региональной инфраструктуры и отсутствия конкуренции между различными провайдерами (но тем не менее берется за ДБО!).
Таким образом, возможны существенно различные сценарии возникновения угроз надежной банковской деятельности в части компонентов стратегического риска, связанных с применением ДБО, и такие сценарии целесообразно рассматривать, разрабатывая модели потенциальных угроз эффективной реализации ключевых решений, принимаемых руководством кредитной организации по направлению внедрения информационных технологий. Тем более принятию недостаточно продуманных руководящих решений в части перехода к ДБО должно препятствовать ТЭО (почему это в основном и важно). Впрочем, следует заметить, что разработка систем поддержки принятия решений или, как иногда говорят, информационных систем управления[50] пока не стала распространенной практикой в российском банковском секторе.
О проекте
О подписке