Как бы то ни было, вне зависимости от расположения и ведения web-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.

Возможно, столь глубокое проникновение в проблематику «web-обусловленных» источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология так называемых «web-порталов», предлагаемый подход уместно принять к сведению. Конечно, многие из web-сайтов кредитных организаций содержат web-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум, руководству таких организаций следует знать о связанных с этими обстоятельствами возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется и определяется именно органами управления кредитной организации. Наибольшее число web-отношений, в которые вступает кредитная организация при «выходе в Сеть», можно классифицировать по трем видам:

взаимодействие с клиентами через посредство web-pecypcoв, обеспечивающих предоставление банковских услуг;

взаимодействие с провайдерами, обеспечивающими кредитную организацию web-ресурсами;

взаимодействие с другими web-ресурсами через посредство гиперссылок (web-связей).

Первый случай характеризуется возможностями прямого проявления влияния «интернет-компонентов» банковских рисков через структуры распределенных компьютерных систем, второй — негативным проявлением наличия как сторонних организаций в ИКБД, так и функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами, третий же представляет собой взаимодействие опосредованное, но, как свидетельствует практика, также связанное с факторами банковских рисков. При этом уровни сопутствующих компонентов таких рисков прямо зависят как от архитектурных сетевых решений, так и от содержания контрактов, определяющих обязательства сторон при осуществлении и обеспечении ДБО.

В части причин возникновения новых и совершенно немотивированных причин нежелательного смещения профиля риска кредитной организации сказанное отражается на всех видах web-отношений. Прежде всего необходимо отметить, что в кредитных организациях, как правило, отсутствуют внутрибанковские документы, содержащие описание распределения ответственности в отношении тех или иных провайдеров по подразделениям. Точно так же, как правило, «по умолчанию» принимается, что вся необходимая кредитной организации работа в части доступа к ресурсам Интернета и использования web-представительств планируется, организуется и реализуется ее подразделением, отвечающим за ИТ «вообще» (информатизацию или автоматизацию). При этом, как следствие, в кредитной организации отсутствует официально утвержденное формальное описание распределения обязанностей и ответственности по видам соответствующих провайдеров. Результатом этого оказывается полная зависимость содержания и качества процесса взаимодействия с провайдерами от менеджеров среднего уровня (развития процесса), а то и от отдельных исполнителей, которые в отсутствие регламентирующих внутрибанковских документов начиная с порядка использования СЭБ действуют в рамках своего понимания этой проблематики — т. е. сути и степени зависимости банковской деятельности от конкретных провайдеров — и собственной квалификации (уровень 2).

Вместе с этим необходимо подчеркнуть, что возникновение и необходимость сопровождения web-отношений нередко не воспринимаются руководством кредитной организации как специфическая и достаточно важная для самой организации и ее клиентов задача (за исключением примеров, относящихся к крупным кредитным организациям, обладающим собственными департаментами ИТ). Вследствие этого возникновение и развитие таких отношений «автоматически» относится на сотрудников упомянутых подразделений, как правило, без учета возрастающей функциональной нагрузки, поскольку о содержании и объеме соответствующих обязанностей лица, принимающие решения, имеющие отношение к использованию кредитной организации представительств в Интернете, зачастую не знают. Эта нагрузка увеличивается по мере расширения присутствия кредитной организации в Сети, однако в рамках корпоративного управления банковской деятельностью этому зачастую не уделяется должного внимания. Это, кстати, относится не только к технологии ИБ, ситуация совершенно аналогична для любых вариантов ДБО.

Точно так же и ответственность за выбор провайдеров кредитной организации, организацию и контроль взаимоотношений с ними, а также их состояния с точки зрения их надежности, в кредитных организациях документально чаще всего не определена, поскольку считается, что для решения любых вопросов такого рода достаточно действий менеджеров среднего звена, действующих в рамках своей компетенции. Следствием такого подхода может оказаться (как минимум) чрезмерно затратная политика кредитной организации в отношении провайдеров и повышение уровней компонентов банковских рисков, которые зависят от качества выполнения своих функций провайдерами. Крайним же негативным вариантом может оказаться потеря контроля со стороны кредитной организации над функционированием web-pecypcoB, используемых ею в процессе банковской деятельности, следствием чего может стать возникновение неожиданных «web-неприятностей» и повышение уровней типичных банковских рисков. Ситуация с учетом потенциальных источников компонентов этих рисков может усугубиться, если в организации отсутствует специализированный внутрибанковский процесс управления web-сайтами и контроля их функционирования.

Частично вопросы организации и обеспечения взаимоотношений кредитной организации с клиентами ДБО были рассмотрены в главе 5, здесь же кратко рассматриваются их дополнительные особенности в рамках уже web-отношений, связанные, как отмечалось выше, с возможностями влияния компонентов типичных банковских рисков через распределенные компьютерных системы. Типичная ситуация характеризуется тем, что недостаточно «компьютерно-грамотный» клиент, использующий ДБО через некую СЭБ, заведомо принимает на себя дополнительные компоненты рисков банковской деятельности, как минимум, операционного риска (но не только). В то же время, поскольку клиенты кредитной организации при реализации таких компонентов банковских рисков всегда предъявляют претензии к ней (а не к провайдеру), для нее они трансформируются в компоненты правового, репутационного и стратегического рисков. Эффекты такого рода обычно классифицируются в качестве так называемого «взаимного влияния рисков», и учитывать их в методике управления рисками наиболее сложно.

Причина заключается в незнании клиентов того, что представляет собой ИКБД и какие «клиентские риски» целесообразно учитывать пользователю конкретной СЭБ (в части самого себя), а виновата в этом кредитная организация, точнее, отсутствие в ней установленного порядка информирования клиента об особенностях ТЭБ и СЭБ, которую он намерен использовать (а ее ВК, то есть представитель этой службы, и сотрудник операционного подразделения, входящий в СВК, не обратили на это внимания). Сказанное выше не означает, безусловно, что технология ИБ или использование web-порталов представляют «безусловную угрозу» интересам клиентов кредитной организации или ее самой, речь идет только о желательности внимательного отношения к реализующим эти технологии проектам, их жизненным циклам и сопутствующим факторам возникновения и источникам компонентов банковских рисков. Начинается такое внимание, как правило, с организации взаимоотношений кредитной организации со своими клиентами и с провайдерами, тем более что разработкой и «продвижением» web-сайтов занимается все-таки меньшая часть кредитных организаций. Это в основном наиболее крупные из них, исповедующие принцип «если хочешь, чтобы работа была сделана так, как надо, сделай ее сам». Для большинства других организаций, особенно небольших, это неприемлемо (как и самостоятельное решение многих других вопросов, связанных с автоматизацией банковской деятельности, применением банковских автоматизированных систем, систем электронного документооборота и систем электронного банкинга).