Electronic banking: management of outsourcing risks

Напрасно винит Нептуна тот, кто терпит кораблекрушение дважды

Сир Публий

В силу своих очевидных преимуществ системы электронного банкинга (ЭБ) в настоящее время стали широко применяться в российских кредитных организациях. К их основным достоинствам можно отнести существенную экономию времени (из-за отсутствия необходимости посещать банк лично) и возможности 24 часа в сутки контролировать собственные счета, а также оперативно реагировать на изменения ситуации на финансовых рынках. Однако для завоевания безоговорочного доверия клиентов к системам ЭБ, кредитным организациям необходимо решить задачу обеспечения безопасного функционирования подобных систем дистанционного банковского обслуживания.

Рост количества клиентов, желающих использовать систему ЭБ для осуществления своих операций, приводит к тому, что перед кредитной организацией (КО) встает вопрос: или расширять свои подразделения автоматизации (в том числе и закупать дополнительное аппаратно-программное обеспечение (АПО), готовить персонал и т.д.) или прибегать к аутсорсингу.

Применение аутсорсинга позволяет финансовым институтам внедрять новые технологические решения и при этом концентрировать свои усилия на приоритетных направлениях, высвобождать дополнительные ресурсы, уменьшать издержки.

Аутсорсинг может использоваться как для выполнения отдельных бизнес-процессов, так и для всего процесса деятельности. В данной статье автор остановится лишь на ситуации, когда на аутсорсинг передается процесс обслуживания операций ЭБ.

После того, как руководством КО принимается решение об использовании аутсорсинга, необходимо провести качественный отбор компании-провайдера (далее – провайдер) и затем заключить договор на оказание услуг.

Для кредитных организаций использование аутсорсинга сопряжено с несколькими проблемами, необходимо учитывать, что:

1) деятельность кредитных организаций строго регулируется;

2) должно быть обеспечено соблюдение банковской и коммерческой тайн;

3) следует также не забывать об информационной безопасности;

4) зоны ответственности необходимо разделять при делегировании полномочий;

5) отсутствует возможность осуществления полноценного контроля (с правовой точки зрения) за деятельностью провайдера [2] [1].

Но, несмотря на вышеперечисленные трудности, кредитные организации нередко прибегают к аутсорсингу (в первую очередь из соображений экономии).

Кредитным организациям при выборе провайдера необходимо изучить следующую информацию:

- срок работы провайдера в данном сегменте рынка и отзывы о его работе клиентов и деловых партнеров;

- уровень профессионализма специалистов провайдера;

- время реагирования на инциденты, связанные с нарушением в работе системы ЭБ;

- возможность осуществлять контроль со стороны КО за обеспечением защиты информации, составляющей коммерческую и банковскую тайны клиентов КО.

Особое внимание руководство КО должно уделять качеству договоров с провайдером, где необходимо предусмотреть право КО осуществлять контроль провайдера.

В число контролируемых вопросов могут входить: время прибытия специалистов провайдера при сбоях в работе АПО системы ЭБ, качество обслуживания, соразмерность оплаты услуг, квалификация специалистов и готовность к решению возникающих проблем.

В большей мере источники, связанные с применением аутсорсинга при использовании систем ЭБ, влияют на следующие банковские риски: операционный, правовой, стратегический, риск потери деловой репутации (репутационный риск) и риск ликвидности.

В качестве примеров рассмотрим лишь некоторые источники типичных банковских рисков [3], связанные с использованием КО услуг провайдера.

Операционный риск:

- низкий уровень обеспечения информационной безопасности как в самой КО, так и у ее провайдеров;

- нарушения в обеспечении непрерывности функционирования системы ЭБ;

- наличие возможности осуществлять несанкционированный доступ к информационным ресурсам КО;

- недостаточная подготовка персонала, обслуживающего систему ЭБ как в самой КО, так и у ее провайдеров и др.

Правовой риск:

- предоставление услуг в рамках ЭБ осуществлялось с нарушениями требований законодательства Российской Федерации (включая нормативные акты Банка России);

- низкое качество с правовой точки зрения договоров с провайдерами и др.

Стратегический риск:

- недостатки стратегического плана развития информационных технологий в КО, включающего системы дистанционного банковского обслуживания;

- непредвиденные затраты на внедрение и сопровождение системы ЭБ и др.

Риск потери деловой репутации (репутационный риск):

- сбои в работе АПО системы ЭБ как в самой КО, так и у ее провайдеров;

- распространение негативного мнения о работе системы ЭБ, предлагаемой данной КО;

- недостоверность информации, размещенной на Web-сайте КО и др.

Риск ликвидности:

- невозможность КО своевременно и в полном объеме выполнить свои обязательства перед клиентами;

- нарушения в работе АПО и телекоммуникационных сетей, используемых системой ЭБ и др.

В основе типичных банковских рисков могут лежать различные источники, причинами возникновения которых могут быть не только сбои в работе систем ЭБ (включая ошибки персонала, обслуживающего данные системы), но и различные нарушения в работоспособности провайдеров, с которыми КО заключила договоры на обслуживание.

В качестве наглядного примера приведем случай, когда нарушения в обеспечении информационной безопасности компании-провайдера могут стать причиной возникновения ряда банковских рисков у КО (см. рис. 1).

Рис. 1. Анализ источников рисков при использовании банком компании-провайдера

Самые нежелательные последствия проявления подобных источников рисков могут приводить к:

- отказу от данного вида дистанционного банковского обслуживания;

- необходимости выбора нового провайдера;

- переходу на новую систему дистанционного банковского обслуживания;

- привлечению клиентов за счет более льготных условий, чем у банков – конкурентов;

- дополнительным затратам на рекламу и восстановление прежней репутации.

Гарантировать полное отсутствие рисков при использовании услуг провайдеров невозможно, но стараться минимизировать их – первостепенная задача руководства КО.

В целях повышения эффективности банковского надзора в ряде стран с развитой рыночной экономикой в последние 5-10 лет введено регулирование аутсорсинга в банковской и финансовой сферах. Существующее регулирование затрагивает в основном такие вопросы, как управление рисками при аутсорсинге, требования к договорам (соглашениям) об аутсорсинге, определения видов деятельности, не подлежащих аутсорсингу и другие.

Так, например [4]:

1) в июне 2004 года в Бельгии были выпущены общие рекомендации по аутсорсингу для банков и инвестиционных компаний, основанные на консультативных документах CEBS (Комитет органов банковского надзора Европейских стран);

2) в начале 2005 года во Франции были введены специальные требования к аутсорсингу основных видов деятельности;

3) банк Японии в апреле 2001 года выпустил рекомендации по управлению рисками, связанными с аутсорсингом для финансовых институтов. Отдельные положения данного документа касались организации и порядка проведения инспекционных проверок управления рисками при использовании аутсорсинга;

4) начиная с 2000 года в Соединенных Штатах Америки действует несколько нормативных документов, выпущенных Федеральным советом по надзору за финансовыми учреждениями (FFIEC), включая указания по проведению инспекционных проверок по вопросам управления рисками, связанными с информационно-техническим аутсорсингом.

Обобщая требования вышеназванных документов, можно сделать вывод, что любая пользующаяся аутсорсингом КО должна иметь полное представление, как минимум, о таких характеристиках провайдера, как:

• лицензионные данные;

• финансовое состояние;

• история, опыт и перспективы деятельности;

• обеспечение информационной безопасности;

• состав АПО;

• квалификация основного персонала;

• средства обеспечения непрерывности функционирования;

• организация внутреннего контроля;

• содержание планов на случай чрезвычайных обстоятельств;

• наличие и содержание субконтрактов на аутсорсинг;

• результаты аудиторских проверок [2].

В Российской Федерации провайдеры в настоящее время находятся вне зоны контроля и правового регулирования со стороны Банка России или иного органа, проводящего согласованную с Банком России политику. Осмысление и правовое регулирование этого явления представляют собой перспективную задачу Банка России и других регулирующих органов.

В данной ситуации кредитным организациям следует во многом полагаться на свои силы при выборе провайдера и особое внимание уделять заключению договоров на оказание услуг аутсорсинга.

Договор об аутсорсинге должен быть заключен в соответствии со статьей 432 Гражданского кодекса РФ, и в нем должны быть определены:

1) стандарты качества выполнения услуг;

2) обеспечение надлежащего уровня информационной безопасности;

3) ответственность сторон;

4) условия обеспечения непрерывности деятельности провайдера;

5) условия прекращения, в том числе досрочного, действия договора, включая порядок переходного периода;

6) порядок разрешения споров.

Оценить последствия проявления рисков аутсорсинга сложно, т.к. нет необходимой практики у российских банков и достаточно эффективных методик, но все же кредитные организации могут использовать уже принятые подходы к оценке типичных банковских рисков (см. рис. 2).

Рис. 2. Процесс управления рисками

В заключение хотелось бы еще раз сказать, что от выбора провайдера зависит не только эффективная организация самого процесса функционирования систем ЭБ, но и безопасность данного вида дистанционного банковского обслуживания в целом. Нельзя забывать, что при любом варианте предоставления услуг ЭБ нести ответственность перед клиентом будет банк.