Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин

Для проведения таких испытаний целесообразно организовывать имитационное тестирование, позволяющее отслеживать и контролировать прохождение трафика в соответствии, например, с диаграммами потоков данных[82], которые используются при проектировании АС. При этом организуется АРМ модельного клиента для имитации его действий (штатных и нештатных) и АРМ системного администратора, используемое для фиксации событий «внутри» АС, контроля прохождения данных через просмотр файлов системных и аудиторских журналов. Кстати, многие функциональные возможности, организуемые при проведении ПСИ, связанные с комбинированием различных функций административного уровня, по завершении испытаний необходимо отключить или блокировать, а также уничтожить все модельные данные, определяющие права и полномочия доступа к информационно-процессинговым ресурсам кредитной организации во избежание их «зависания» в АС и возможного последующего противоправного использования. В завершение ПСИ специалисты внутреннего контроля принимают участие в оформлении их итоговых документов, характеризующих функционирование ИКБД, СЭБ и БАС.

В ходе эксплуатации внутренний контроль реализуется по тем штатным схемам, которые установлены руководством кредитной организации в программах и методиках его осуществления. При выполнении процедур, относящихся к сопровождению и модернизации СЭБ и БАС, специалисты внутреннего контроля должны «отслеживать» проведение соответствующих ПСИ, убеждаясь в сохранении целостности средств контроля, которая может пострадать при внесении изменений в программно-информационное обеспечение указанных систем (что нередко случается из-за его сложности). Тем самым реализуется адаптация внутреннего контроля к новым условиям банковской деятельности, распространяемая в дальнейшем на всю систему внутреннего контроля кредитной организации (элементы в ее подразделениях).

Очевидно, что в случае заказной разработки АС специалисты внутреннего контроля кредитной организации должны участвовать в подготовке исходных требований на разработку и согласовании соответствующего технического задания (которое разрабатывает ее исполнитель). В этом же случае, а также если АС приобретается «под ключ», те же специалисты должны участвовать в разработке и согласовании программ и методик проведения ПСИ, а также в самих испытаниях, включая подписание протокола и акта проведения ПСИ. Проводить эти испытания целесообразно на стендовых средствах самой кредитной организации, хотя, как показывает практика, такими средствами может располагать далеко не каждая кредитная организация, почему и приходится пользоваться для этого средствами организации разработчика. При этом надо иметь в виду, что, например, инсталляция на банковском оборудовании может выявить те или иные особенности и недостатки в функционировании АС просто из-за различий в версиях или релизах операционного программного обеспечения, операционных систем и т. п. Если кредитной организации предлагается система, сделанная «под ключ» без возможности проведения ее ПСИ в этой организации, то ее специалистам следует ознакомиться с документами о предыдущих испытаниях этой системы и убедиться в соответствии их содержания требованиям, установленным в ней самой (предполагается, что руководству этой организации такие требования известны и существуют соответствующие внутренние распорядительные документы, порядки, регламенты и т. п.).

Ролевые функции сервис-центра (иногда называемого «call-center») в соответствующем ЖЦ связаны в основном со сбором информации о функционировании банковских автоматизированных систем, их доработках и модернизации с тем, чтобы у клиента не возникало замешательства при каких-либо изменениях в их работе. Наиболее простым примером из практики является изменение дизайна web-сайта кредитной организации, о котором заранее не сообщается и которое вызывает негативную реакцию, если привычный вид web-страниц изменяется таким образом, что элементы управления (навигации) и информационные компоненты исчезают с привычных мест и их приходится разыскивать, «прыгая» по системе меню такого web-сайта и гиперссылкам. Очевидно, что внедрение новой ТЭБ, реализующей ее СЭБ, и предоставляемых ею сервисов приводит к необходимости изменения содержания работы сервис-центра, адаптируемой к внедрению и модернизации ДБО, в том числе в части переподготовки соответствующего персонала и расширения его служебного информационного обеспечения.

Как уже отмечалось, службы ИТ, обеспечения информационной безопасности, внутреннего контроля и финансового мониторинга, и сервис-центр кредитной организации должны выполнять некоторые функции и в отношении «внешнего мира». Эти функции относятся к взаимодействию кредитной организации с вендорами, в части контроля качества продаваемых ими средств автоматизации банковской деятельности, провайдерами — в части гарантирования уровней обслуживания (SLA) и со своими клиентами — в части принятия максимально «жестких» ограничений на их деятельность. Каждый аспект этой внешней по отношению к кредитной организации деятельности налагает своеобразные требования на содержание отдельных процедур во всех перечисленных процессах или некоторых из них. Основное внимание при определении их содержания и взаимосвязей друг с другом руководству кредитной организации целесообразно уделять различным условиям:

— контрактов и договоров, в которых фиксировалось бы точнее распределение обязанностей и ответственности сторон с учетом специфических особенностей каждой ТЭБ и формируемого ею ИКБД;

— функционирования и использования автоматизированных систем, с помощью которых реализуется ДБО и к которым имеют доступ (или отношение) стороны, выполняющие оговоренные функции;

— восстановления функционирования автоматизированных систем и каналов связи в составе ИКБД и обеспечения их доступности для осуществления ДБО и выполнения сторонами своих обязательств;

— взаимодействия договаривающихся сторон с определением соответствующих порядков, включая обеспечение подтверждения идентичности этих сторон и аутентичности информационного обмена;

— разрешения конфликтных и спорных ситуаций, препятствующих штатному осуществлению ДБО, которые могут возникать в ИКБД, равно как и мерам, принимаемым в обеспечение этих условий.

В целом состав и характеристики (параметры) этих функций всегда зависят от состава и организации ИКБД (для каждой ТЭБ), а следовательно, могут варьироваться с течением времени, причем обязательно при внедрении нового варианта ДБО, так что адаптация будет затрагивать соответствующие процессы и в этом отношении. Главным фактором, обусловливающим очередной «виток» ЖЦ для них, являются отличия в реализации ДБО в каждом из этих вариантов, которые неизбежны даже при использовании однородных технологий электронного банкинга, а поэтому требуют изучения, освоения и учета, т. е. своего рода «точной настройки» внутрибанковских процессов.

Приведенное краткое описание ЖЦ АС и участия в нем разных служб кредитной организации может быть расширено исходя из ее структуры, поскольку в условиях большого разнообразия вариантов организации банковской деятельности, состава подразделений, применяемых автоматизированных систем и их архитектуры дать детальные полные рекомендации невозможно. В этом, кстати, заключается основная методологическая проблема, в решении которой в условиях применения технологий электронного банкинга целесообразно объединять усилия исполнительных органов кредитной организации и специалистов из упомянутых (как минимум) подразделений. Следствием возникновения этой проблемы становится решение вопроса согласованной адаптации совокупности внутрибанковских процессов с каждым «оборотом» ЖЦ банковских автоматизированных систем и технологий электронного банкинга при их последовательном внедрении в постоянно развивающуюся и усложняющуюся банковскую деятельность.

3.4. Адаптационный метапроцесс

Суммируя сказанное, можно перечислить основные зоны концентрации источников компонентов банковских рисков в случае внедрения ТЭБ, анализ которых целесообразно проводить:

БАС, с которой потребуется интегрировать программно-информационный комплекс электронного банкинга;

поставщики (вендоры) программно-информационных комплексов и аппаратно-программного обеспечения, подлежащих контролю;

внутрибанковские процессы управления и контроля, включая иерархию ответственности, подконтрольности и подотчетности;

внутрибанковское документарное обеспечение новой технологии от порядков и инструкций до должностных обязанностей персонала;