Электронный банкинг: управление рисками аутсорсинга
Скачать PDF | Загрузок: 6
Статья в журнале
Креативная экономика (РИНЦ, ВАК)
опубликовать статью | оформить подписку
№ 12 (36), Декабрь 2009
Эта статья проиндексирована РИНЦ, см. https://elibrary.ru/item.asp?id=12990335
Аннотация:
В статье рассматриваются особенности использования систем электронного банкинга в кредитных организациях с привлечением сторонних организаций. Изучены источники типичных банковских рисков при использования банком услуг провайдера. Приведены примеры регулирования аутсорсинга в банковской и финансовой сферах развитых стран и даны рекомендации для кредитных организаций при выборе провайдера и по оформлению договора с ним. Представлен порядок анализа источников основных банковских рисков, связанных с использованием провайдера.
Ключевые слова: дистанционное банковское обслуживание, аутсорсинг, электронный банкинг, риски аутсорсинга, регулирование аутсорсинга
Напрасно винит Нептуна тот, кто терпит кораблекрушение дважды
Сир Публий
В силу своих очевидных преимуществ системы электронного банкинга (ЭБ) в настоящее время стали широко применяться в российских кредитных организациях. К их основным достоинствам можно отнести существенную экономию времени (из-за отсутствия необходимости посещать банк лично) и возможности 24 часа в сутки контролировать собственные счета, а также оперативно реагировать на изменения ситуации на финансовых рынках. Однако для завоевания безоговорочного доверия клиентов к системам ЭБ, кредитным организациям необходимо решить задачу обеспечения безопасного функционирования подобных систем дистанционного банковского обслуживания.
Рост количества клиентов, желающих использовать систему ЭБ для осуществления своих операций, приводит к тому, что перед кредитной организацией (КО) встает вопрос: или расширять свои подразделения автоматизации (в том числе и закупать дополнительное аппаратно-программное обеспечение (АПО), готовить персонал и т.д.) или прибегать к аутсорсингу.
Применение аутсорсинга позволяет финансовым институтам внедрять новые технологические решения и при этом концентрировать свои усилия на приоритетных направлениях, высвобождать дополнительные ресурсы, уменьшать издержки.
Аутсорсинг может использоваться как для выполнения отдельных бизнес-процессов, так и для всего процесса деятельности. В данной статье автор остановится лишь на ситуации, когда на аутсорсинг передается процесс обслуживания операций ЭБ.
После того, как руководством КО принимается решение об использовании аутсорсинга, необходимо провести качественный отбор компании-провайдера (далее – провайдер) и затем заключить договор на оказание услуг.
Для кредитных организаций использование аутсорсинга сопряжено с несколькими проблемами, необходимо учитывать, что:
1) деятельность кредитных организаций строго регулируется;
2) должно быть обеспечено соблюдение банковской и коммерческой тайн;
3) следует также не забывать об информационной безопасности;
4) зоны ответственности необходимо разделять при делегировании полномочий;
5) отсутствует возможность осуществления полноценного контроля (с правовой точки зрения) за деятельностью провайдера [2] [1].
Но, несмотря на вышеперечисленные трудности, кредитные организации нередко прибегают к аутсорсингу (в первую очередь из соображений экономии).
Кредитным организациям при выборе провайдера необходимо изучить следующую информацию:
- срок работы провайдера в данном сегменте рынка и отзывы о его работе клиентов и деловых партнеров;
- уровень профессионализма специалистов провайдера;
- время реагирования на инциденты, связанные с нарушением в работе системы ЭБ;
- возможность осуществлять контроль со стороны КО за обеспечением защиты информации, составляющей коммерческую и банковскую тайны клиентов КО.
Особое внимание руководство КО должно уделять качеству договоров с провайдером, где необходимо предусмотреть право КО осуществлять контроль провайдера.
В число контролируемых вопросов могут входить: время прибытия специалистов провайдера при сбоях в работе АПО системы ЭБ, качество обслуживания, соразмерность оплаты услуг, квалификация специалистов и готовность к решению возникающих проблем.
В большей мере источники, связанные с применением аутсорсинга при использовании систем ЭБ, влияют на следующие банковские риски: операционный, правовой, стратегический, риск потери деловой репутации (репутационный риск) и риск ликвидности.
В качестве примеров рассмотрим лишь некоторые источники типичных банковских рисков [3], связанные с использованием КО услуг провайдера.
Операционный риск:
- низкий уровень обеспечения информационной безопасности как в самой КО, так и у ее провайдеров;
- нарушения в обеспечении непрерывности функционирования системы ЭБ;
- наличие возможности осуществлять несанкционированный доступ к информационным ресурсам КО;
- недостаточная подготовка персонала, обслуживающего систему ЭБ как в самой КО, так и у ее провайдеров и др.
Правовой риск:
- предоставление услуг в рамках ЭБ осуществлялось с нарушениями требований законодательства Российской Федерации (включая нормативные акты Банка России);
- низкое качество с правовой точки зрения договоров с провайдерами и др.
Стратегический риск:
- недостатки стратегического плана развития информационных технологий в КО, включающего системы дистанционного банковского обслуживания;
- непредвиденные затраты на внедрение и сопровождение системы ЭБ и др.
Риск потери деловой репутации (репутационный риск):
- сбои в работе АПО системы ЭБ как в самой КО, так и у ее провайдеров;
- распространение негативного мнения о работе системы ЭБ, предлагаемой данной КО;
- недостоверность информации, размещенной на Web-сайте КО и др.
Риск ликвидности:
- невозможность КО своевременно и в полном объеме выполнить свои обязательства перед клиентами;
- нарушения в работе АПО и телекоммуникационных сетей, используемых системой ЭБ и др.
В основе типичных банковских рисков могут лежать различные источники, причинами возникновения которых могут быть не только сбои в работе систем ЭБ (включая ошибки персонала, обслуживающего данные системы), но и различные нарушения в работоспособности провайдеров, с которыми КО заключила договоры на обслуживание.
В качестве наглядного примера приведем случай, когда нарушения в обеспечении информационной безопасности компании-провайдера могут стать причиной возникновения ряда банковских рисков у КО (см. рис. 1).
Рис. 1. Анализ источников рисков при использовании банком компании-провайдера
Самые нежелательные последствия проявления подобных источников рисков могут приводить к:
- отказу от данного вида дистанционного банковского обслуживания;
- необходимости выбора нового провайдера;
- переходу на новую систему дистанционного банковского обслуживания;
- привлечению клиентов за счет более льготных условий, чем у банков – конкурентов;
- дополнительным затратам на рекламу и восстановление прежней репутации.
Гарантировать полное отсутствие рисков при использовании услуг провайдеров невозможно, но стараться минимизировать их – первостепенная задача руководства КО.
В целях повышения эффективности банковского надзора в ряде стран с развитой рыночной экономикой в последние 5-10 лет введено регулирование аутсорсинга в банковской и финансовой сферах. Существующее регулирование затрагивает в основном такие вопросы, как управление рисками при аутсорсинге, требования к договорам (соглашениям) об аутсорсинге, определения видов деятельности, не подлежащих аутсорсингу и другие.
Так, например [4]:
1) в июне 2004 года в Бельгии были выпущены общие рекомендации по аутсорсингу для банков и инвестиционных компаний, основанные на консультативных документах CEBS (Комитет органов банковского надзора Европейских стран);
2) в начале 2005 года во Франции были введены специальные требования к аутсорсингу основных видов деятельности;
3) банк Японии в апреле 2001 года выпустил рекомендации по управлению рисками, связанными с аутсорсингом для финансовых институтов. Отдельные положения данного документа касались организации и порядка проведения инспекционных проверок управления рисками при использовании аутсорсинга;
4) начиная с 2000 года в Соединенных Штатах Америки действует несколько нормативных документов, выпущенных Федеральным советом по надзору за финансовыми учреждениями (FFIEC), включая указания по проведению инспекционных проверок по вопросам управления рисками, связанными с информационно-техническим аутсорсингом.
Обобщая требования вышеназванных документов, можно сделать вывод, что любая пользующаяся аутсорсингом КО должна иметь полное представление, как минимум, о таких характеристиках провайдера, как:
• лицензионные данные;
• финансовое состояние;
• история, опыт и перспективы деятельности;
• обеспечение информационной безопасности;
• состав АПО;
• квалификация основного персонала;
• средства обеспечения непрерывности функционирования;
• организация внутреннего контроля;
• содержание планов на случай чрезвычайных обстоятельств;
• наличие и содержание субконтрактов на аутсорсинг;
• результаты аудиторских проверок [2].
В Российской Федерации провайдеры в настоящее время находятся вне зоны контроля и правового регулирования со стороны Банка России или иного органа, проводящего согласованную с Банком России политику. Осмысление и правовое регулирование этого явления представляют собой перспективную задачу Банка России и других регулирующих органов.
В данной ситуации кредитным организациям следует во многом полагаться на свои силы при выборе провайдера и особое внимание уделять заключению договоров на оказание услуг аутсорсинга.
Договор об аутсорсинге должен быть заключен в соответствии со статьей 432 Гражданского кодекса РФ, и в нем должны быть определены:
1) стандарты качества выполнения услуг;
2) обеспечение надлежащего уровня информационной безопасности;
3) ответственность сторон;
4) условия обеспечения непрерывности деятельности провайдера;
5) условия прекращения, в том числе досрочного, действия договора, включая порядок переходного периода;
6) порядок разрешения споров.
Оценить последствия проявления рисков аутсорсинга сложно, т.к. нет необходимой практики у российских банков и достаточно эффективных методик, но все же кредитные организации могут использовать уже принятые подходы к оценке типичных банковских рисков (см. рис. 2).
Рис. 2. Процесс управления рисками
В заключение хотелось бы еще раз сказать, что от выбора провайдера зависит не только эффективная организация самого процесса функционирования систем ЭБ, но и безопасность данного вида дистанционного банковского обслуживания в целом. Нельзя забывать, что при любом варианте предоставления услуг ЭБ нести ответственность перед клиентом будет банк.
Источники:
2. Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом / «Расчеты и операционная работа в коммерческом банке». - 2006. - № 7-8.
Страница обновлена: 30.10.2024 в 12:16:20