Вместе с этим необходимо подчеркнуть, что возникновение и необходимость сопровождения web-отношений нередко не воспринимаются руководством кредитной организации как специфическая и достаточно важная для самой организации и ее клиентов задача (за исключением примеров, относящихся к крупным кредитным организациям, обладающим собственными департаментами ИТ). Вследствие этого возникновение и развитие таких отношений «автоматически» относится на сотрудников упомянутых подразделений, как правило, без учета возрастающей функциональной нагрузки, поскольку о содержании и объеме соответствующих обязанностей лица, принимающие решения, имеющие отношение к использованию кредитной организации представительств в Интернете, зачастую не знают. Эта нагрузка увеличивается по мере расширения присутствия кредитной организации в Сети, однако в рамках корпоративного управления банковской деятельностью этому зачастую не уделяется должного внимания. Это, кстати, относится не только к технологии ИБ, ситуация совершенно аналогична для любых вариантов ДБО.
Точно так же и ответственность за выбор провайдеров кредитной организации, организацию и контроль взаимоотношений с ними, а также их состояния с точки зрения их надежности, в кредитных организациях документально чаще всего не определена, поскольку считается, что для решения любых вопросов такого рода достаточно действий менеджеров среднего звена, действующих в рамках своей компетенции. Следствием такого подхода может оказаться (как минимум) чрезмерно затратная политика кредитной организации в отношении провайдеров и повышение уровней компонентов банковских рисков, которые зависят от качества выполнения своих функций провайдерами. Крайним же негативным вариантом может оказаться потеря контроля со стороны кредитной организации над функционированием web-pecypcoB, используемых ею в процессе банковской деятельности, следствием чего может стать возникновение неожиданных «web-неприятностей» и повышение уровней типичных банковских рисков. Ситуация с учетом потенциальных источников компонентов этих рисков может усугубиться, если в организации отсутствует специализированный внутрибанковский процесс управления web-сайтами и контроля их функционирования.
6.1. Web-отношения с клиентами
Частично вопросы организации и обеспечения взаимоотношений кредитной организации с клиентами ДБО были рассмотрены в главе 5, здесь же кратко рассматриваются их дополнительные особенности в рамках уже web-отношений, связанные, как отмечалось выше, с возможностями влияния компонентов типичных банковских рисков через распределенные компьютерных системы. Типичная ситуация характеризуется тем, что недостаточно «компьютерно-грамотный» клиент, использующий ДБО через некую СЭБ, заведомо принимает на себя дополнительные компоненты рисков банковской деятельности, как минимум, операционного риска (но не только). В то же время, поскольку клиенты кредитной организации при реализации таких компонентов банковских рисков всегда предъявляют претензии к ней (а не к провайдеру), для нее они трансформируются в компоненты правового, репутационного и стратегического рисков. Эффекты такого рода обычно классифицируются в качестве так называемого «взаимного влияния рисков», и учитывать их в методике управления рисками наиболее сложно.
Причина заключается в незнании клиентов того, что представляет собой ИКБД и какие «клиентские риски» целесообразно учитывать пользователю конкретной СЭБ (в части самого себя), а виновата в этом кредитная организация, точнее, отсутствие в ней установленного порядка информирования клиента об особенностях ТЭБ и СЭБ, которую он намерен использовать (а ее ВК, то есть представитель этой службы, и сотрудник операционного подразделения, входящий в СВК, не обратили на это внимания). Сказанное выше не означает, безусловно, что технология ИБ или использование web-порталов представляют «безусловную угрозу» интересам клиентов кредитной организации или ее самой, речь идет только о желательности внимательного отношения к реализующим эти технологии проектам, их жизненным циклам и сопутствующим факторам возникновения и источникам компонентов банковских рисков. Начинается такое внимание, как правило, с организации взаимоотношений кредитной организации со своими клиентами и с провайдерами, тем более что разработкой и «продвижением» web-сайтов занимается все-таки меньшая часть кредитных организаций. Это в основном наиболее крупные из них, исповедующие принцип «если хочешь, чтобы работа была сделана так, как надо, сделай ее сам». Для большинства других организаций, особенно небольших, это неприемлемо (как и самостоятельное решение многих других вопросов, связанных с автоматизацией банковской деятельности, применением банковских автоматизированных систем, систем электронного документооборота и систем электронного банкинга).
На первый план с точки зрения возникновения новых компонентов банковских рисков в связи с клиентами ДБО выходит их недостаточная техническая и правовая подготовка, они могут неточно понимать (или просто не понимать) условия соглашений по ДБО, заключенных ими с кредитной организацией. С учетом этого руководству кредитной организации целесообразно заблаговременно организовать (на официальной основе) тесное взаимодействие между специалистами подразделений ИТ, ОИБ и правового обеспечения как с целью проработки возможных негативных сценариев претензионной деятельности при возникновении каких-либо инцидентов в ИКБД, так и в плане разработки точных инструкций для клиентов ДБО (по их вариантам), а также при необходимости по личному участию в переговорах.
Мало того, изучение претензионной практики, сложившейся за последние несколько лет, свидетельствует, что помимо «компьютерной безграмотности», следствием которой являются нередко весьма ощутимые финансовые потери клиентов (в десятки тысяч и миллионы рублей, часть которых, впрочем, часто удается все-таки вернуть, хотя это стоит определенных затрат нервов, времени и денег), у кредитных организаций пытаются отсудить немалые денежные суммы и недобросовестные клиенты ИБ, предъявляющие претензии относительно имевших якобы место хищений их финансовых средств либо неведомыми хакерами, либо инсайдерами кредитной организации, что случилось как бы из-за недостатков в обеспечении информационной безопасности. Может также инсценироваться компрометация или утрата средств дистанционного доступа к информационно-процессинговым ресурсам ИБ и т. п. К тому же часто традиционно считается, что недопустимо подозревать в клиенте, желающем перейти на ДБО, потенциального или отъявленного мошенника (в отсутствие заведенного на него уголовного дела). Тем не менее известная практика дает серьезные основания для того, чтобы в кредитной организации по мере оказания удаленным клиентам банковских услуг формировалась такая доказательная база, которая позволяла бы при необходимости детально проанализировать содержание тех или иных web-отношений в течение конкретных сеансов информационного взаимодействия клиента с СЭБ, чтобы затем адекватно аргументировать позицию кредитной организации в суде. Разные кредитные организации относятся к этой проблематике также различно: одни хранят данные по проведенным операциям в течение суток и если за это время не возникло конфликтных ситуаций, просто уничтожают их, другие, располагающие ресурсами хранилищ данных, накапливают терабайты информации по операциям ДБО, проведенным за годы. Опять-таки, для этого может потребоваться как специальная технологическая и сеансовая информация, так и понимание ее назначения, способов получения, содержания и, самое главное, ее значения лицами, принимающими судебные решения.
Следует добавить, что действия клиентов могут представлять реальные угрозы для кредитной организации, реализующиеся через репутационный, правовой, а то и стратегический риски, тем более в современных условиях отмечавшейся «интернетизации» общественной жизни, т. е. возможностей распространения негативной информации через web-сайты, чаты, форумы, рассылки электронной почтой и т. п. Модели таких спорных ситуаций, соответствующих угроз и алгоритмы их парирования также лучше иметь наготове в кредитной организации (подготовить заранее). Еще лучше заведомо поставить клиента ДБО в такие условия, в которых он даже при «противоправном желании» не смог бы нанести ущерб ни кредитной организации (как «имиджевый», так и финансовый), ни другим ее клиентам.
Решающая роль при этом отводится руководству кредитной организации, сознающему наличие дополнительных факторов возникновения источников компонентов банковских рисков, связанных с удаленными клиентами, т. е. концентрирующихся в ее «клиентской» зоне ответственности. Полезно также и в плане УБР и претензионной работы формировать описания процедур, защищающих кредитную организацию в процессе претензионной работы, впрочем, не забывая об обязательствах в отношении клиентов ДБО.
