Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
В качестве примера можно напомнить, что уже одно лишь использование web-сайта в банковской деятельности предполагает понимание, с одной стороны, тех обязательств, которые принимает на себя кредитная организация перед, так сказать, «внешним миром», в первую очередь своими реальными и потенциальными клиентами, с другой стороны, того, какие именно условия необходимо обеспечить для выполнения этих обязательств. Обеспечение того и другого как раз и представляет собой определенный внутрибанковский процесс. Содержание такого web-сайта, естественно, целесообразно поддерживать актуальным (включая обеспечение целостности информации), в противном случае организация может оказаться подвержена действию ряда источников правового, репутационного и стратегического рисков. Следовательно, в оптимальном варианте, реализации которого должен способствовать процессный подход, в ней назначаются ответственные должностные
78
Речь идет, разумеется, не о названии внутрибанковских документов, а об их содержа-
Естественно, ответственность за упомянутое осознание лежит на совете директоров и высшем руководстве кредитной организации, от которых зависит принятие решений о переходе к ДБО. В связи с этим можно отметить также, что «недоработки высшего уровня» могут наблюдаться, даже начиная с устава кредитной организации, поскольку описания ролевых функций совета директоров, наблюдательного совета, исполнительных органов зачастую не содержат упоминаний об управлении информационными технологиями и контроле их применения. То же относится к описанию функций аудита (как внутреннего, так и внешнего), включая вопросы аудита информационных технологий и информационной безопасности, как будто банковская деятельность кредитной организации от этих технологий и реализующих их автоматизированных систем никак не зависит. Однако все изложенное в этой книге явно свидетельствует, что это не так.
3.3. Принцип адаптации внутрибанковских процессов
Из проведенного выше рассмотрения становится понятно, что технологии электронного банкинга могут существенно изменять бизнес-модели и различные процессы (включая операционные) кредитной организации. Поэтому в число базовых принципов организации банковской деятельности при внедрении технологий электронного банкинга целесообразно включить подход, основанный на том, что «вне зависимости от того, какая именно ТЭБ внедряется, адаптации/модернизации и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации».
Весьма желательно закрепление этого подхода во внутренних документах высокотехнологичной кредитной организации, с одновременным определением в них как упоминавшихся выше внутрибанковских процессов, так и порядка их адаптации в рамках ЖЦ. Надо отметить, что в крупных кредитных организациях, функционирование которых регламентируется в совокупности несколькими сотнями внутренних документов и более, для приведения содержания этих документов в соответствие с новыми условиями банковской деятельности (каждый раз вместе с ЖЦ) требуется, по сути, создание специальной службы, которая должна отслеживать изменения в структуре подразделений и внутрибанковских процессах и процедурах, поскольку и то и другое должно находить отражение в плане актуализации содержания документарного обеспечения этой деятельности (без централизованного управления это невозможно).
В этом прежде всего выражается предвидение руководством кредитных организаций качественных изменений в содержании их функционирования и одновременно понимание того, что «неадекватная адаптация внутрибанковских процессов к применению технологий и систем электронного банкинга — системный фактор риска для кредитной организации».
В документах БКБН также предполагается, что высшее руководство кредитной организации должно осознавать все особенности внедряемой ТЭБ, которые могут оказаться связаны с возникновением новых факторов и подмножеств источников компонентов банковских рисков, отсутствие учета которых приведет к чрезмерному повышению их уровней и возможному неконтролируемому смещению профиля риска кредитной организации в целом.
Необходимо отметить также, что адаптация внутрибанковских процессов должна быть согласованной, т. е. изменения в составе и содержании процедур (функций, операций), составляющих тот или иной процесс, целесообразно вносить «в едином ключе», на основе требований к содержанию УБР и, как пишут, удержания уровней банковских рисков в допустимых пределах. На самом деле акцент изначально целесообразно делать на разработке своего рода «модели оптимальной организации банковской деятельности», под которой имеется в виду достижение «безрисковой» ее организации с позиций максимально достижимого исключения возможностей возникновения новых источников компонентов банковских рисков. Естественно, поскольку банковская деятельность безрисковой в буквальном смысле быть не может, такие модели всегда будут идеалистичны, однако в условиях отсутствия регламентации применения банковских информационных технологий (в широком смысле) это, пожалуй, единственный реальный способ совершенствования организации внутрибанковских процессов при внедрении любой ТЭБ. Этот подход отражен на рис. 3.2, где показан с некоторой долей условности ЖЦ некой автоматизированной системы и участие в нем структурных подразделений кредитной организации (основных с точки зрения тематики изложения) во взаимодействии с «внешним миром». Ниже приводится краткое описание ролевых функций (внутрибанковских процессов), которые могли бы выполняться этими подразделениями в своих жизненных циклах; для тех подразделений, которые на схеме не показаны, рассуждения могут быть аналогичными в плане адаптации их работы к внедрению новых технологий.
В материалах зарубежных органов банковского регулирования и надзора, посвященных управлению банковскими рисками, как правило, подчеркивается, что при внедрении технологий и систем электронного банкинга кредитным организациям следует (как минимум):
— интегрировать приложения электронного банкинга с уже действующими банковскими автоматизированными системами;
— обеспечить целостность принимаемых, хранимых, передаваемых и обрабатываемых банковских и клиентских данных;
— гарантировать наличие процедур усовершенствованного контроля над рисками, внутреннего контроля и процессов аудита.
Из этого перечисления следуют описанные ниже функциональные роли (на схеме показан полный ЖЦ БАС, если разработка осуществляется самой кредитной организацией, если же заказные или автоматизированные системы приобретаются «под ключ», то начальные этапы отсутствуют).
Руководство кредитной организации участвует в ЖЦ банковских автоматизированных систем и внутрибанковских процессов с самого начала — с этапа подготовки ТЭО и выбора конкретной технологии. Кроме этого, от него зависит утверждение выбора компании-разработчика (при необходимости) и других провайдеров, которые будут поддерживать ИКБД [79] . Хорошей «практикой» при этом считается проведение тендера, в процессе которого учитываются такие основные характеристики провайдера, как:
79
В этом случае понятие аутсорсинга используется в «максимально широкой» его трактовке, с учетом «множественности» вариантов образования внешней зависимости банковской деятельности кредитной организации в ИКБД.
— опыт в данной области предоставления услуг;
— техническое обеспечение предоставления услуг;
— квалификация персонала;
— мнение других клиентов (провайдера);
— стоимость и условия предоставления услуг;
— финансовое состояние;
— возможности мониторинга деятельности провайдера;
— возможность заключения договора с учетом SLA;
— возможная зависимость от суб-провайдеров;
— возможности замены провайдера.
Требования кредитных организаций в отношении провайдеров могут быть шире, здесь перечислены характеристики, учитываемые «как правило».
После принятия решения о внедрении ТЭБ руководство кредитной организации инициирует проектирование и разработку соответствующей СЭБ и поддерживающей применение этой технологии инфраструктуры в кредитной организации, основой для которой является, естественно, уже имеющаяся структура ее подразделений. При этом акцент целесообразно делать на минимизации рисков, связанных с нарушениями требуемых порядков проектирования и разработки (в соответствии с упоминавшимися ранее ГОСТами).
Последующее участие руководства кредитной организации или ее исполнительных органов связано с контролем проведения испытаний автоматизированной системы (АС), для чего следует инициировать разработку программ и методик их проведения (общепринятой практикой стало проведение испытаний по трем этапам так называемых альфа-, бета- и гамма-тестов [80] ), а также составление протоколов и актов как минимум для приемо-сдаточных испытаний (ПСИ), где отражаются результаты отработки контрольных примеров. В задачи руководства входит при этом осуществление тщательного контроля за ходом и результатами ПСИ, поскольку в дальнейшем от этого во многом будет зависеть эффективность автоматизированной банковской деятельности, неважно идет ли речь о СЭБ или другой АС.
80
Имеются в виду варианты предварительного «внутреннего» тестирования автоматизированной системы подразделением ИТ, апробации ее небольшим количеством операторов на тестовых и отдельных практических примерах и передачи ее в опытную эксплуатацию, после чего принимается решение о проведении ПСИ для передачи системы в постоянную эксплуатацию.