Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

К этим проблемам тесно примыкает защита интересов вкладчиков, которые, как было отмечено выше, также входят в число «заинтересованных лиц». Впрочем, речь здесь должна была бы идти не только о тех клиентах кредитных организаций, которые связаны с ними именно договорами банковского вклада, но и обо всех лицах, которым требуются банковские услуги этих организаций (это важно с точки зрения содержания договоров на ДБО и внутрибанковских порядков, регламентирующих претензионную работу, где сложно найти соответствующие упоминания, поскольку акцент всегда делается на интересах самой кредитной организации). Таких лиц, понятно, намного больше, чем вкладчиков, вследствие чего и обязательства кредитных организаций оказываются существенно шире, особенно если учитывать многообразие возможных банковских услуг, реализуемых в рамках электронного банкинга, и вариантов ответственности кредитных организаций перед своими клиентами и органом банковского надзора. Корпоративность управления как раз и заключается в том, что гарантии выполнения этих обязательств следовало бы обеспечивать на всех уровнях менеджмента кредитных обязательств по всем «линейкам» подчиненности и подотчетности. Эти «линейки» сами подлежат адаптации вместе с внутрибанковскими процессами и процедурами, модифицируемыми при внедрении новых технологий банковского обслуживания в их жизненных циклах, за что отвечают, естественно, совет директоров и высшее руководство кредитной организации.

В завершение преамбулы рассматриваемого документа подчеркивается, что «практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается банк, или при необходимости принятия значимых корректирующих мер».

Очевидно, что при применении ТЭБ проблемные ситуации могут оказаться достаточно нетрадиционными и вообще связанными не только с самой кредитной организацией, но и с действиями ее удаленной клиентуры (которая весьма «охотно», например, создает инциденты информационной безопасности или делает ошибки при попытках осуществить банковские операции в рамках ДБО), а также с проблемами, которые могут иметь место на территории провайдера кредитной организации. В отношении таких ситуаций руководству кредитной организации целесообразно четко осознавать наличие тех или иных зависимостей банковской деятельности от третьих сторон, т. е. компаний, которые эту деятельность «всего лишь» обеспечивают. В большинстве случаев клиенты кредитной организации об этом обеспечении вряд ли догадываются, а поэтому, как показывает практика, все проблемы, связанные с выполнением обязательств сторонними организациями, задействованными в ИКБД, решать приходится сотрудникам самой этой организации (тот же второй, а то и первый уровень процессного подхода). В связи с изложенным уместно привести точку зрения Федеральной корпорации страхования депозитов США[96], выраженную в одном из руководств по оцениванию рисков, связанных с информационными системами: «Если финансовое учреждение взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, обслуживанием систем, администрированием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, связанных с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то его руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».

Эта формулировка имеет в известном отношении частный характер, но идея, заложенная в ней, понятна: за уровень обслуживания, обеспечиваемый провайдером, по американским канонам ответственность несет тот, кто его нанимает для оказания услуг кредитной организации.

В дополнение к сказанному следует заметить, что даже при заранее предусмотренной реорганизации корпоративного управления, которое, предположим, уже было реализовано в кредитной организации до внедрения очередной новой технологии ДБО, лицам, ответственным за управление рисками, все равно целесообразно осуществлять комплексный анализ возможного смещения профиля риска. Это обусловлено тем, что любая новая, тем более, возможно, не до конца изученная технология при всех своих достоинствах может преподнести малоприятные сюрпризы. К примеру, внедрение банковского обслуживания через Интернет может оказаться для кредитной организации чрезвычайно выгодным, только если ею приняты все меры:

— для гарантированной идентификации клиентов кредитной организации, которые приобретают известную анонимность (как и при любом ДБО);

— достоверной аутентификации информационных сообщений, поступающих из внешнего мира и ассоциируемых с легитимными клиентами;

— полноценного обеспечения информационной безопасности БАС, учитывающего угрозы сетевых атак[97];