Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Высказанные соображения в значительной степени относятся к «общей культуре» банковской деятельности и корпоративному управлению ею в кредитных организациях, о чем руководство многих из этих организаций, причем уже довольно давно внедряющих системы электронного банкинга, стало задумываться лишь в последнее время. Отчасти это связано с тем акцентом, который делается на этой проблематике Банком России, отчасти это можно считать следствием реализации компонентов банковских рисков, возникших ввиду «непредвиденных обстоятельств», которые вполне можно было предвидеть при условии осуществления проактивного анализа факторов возникновения и источников компонентов банковских рисков в ИКБД. В то же время формирование общей культуры невозможно без доведения понимания цикличности внутрибанковских процессов до менеджмента среднего уровня и ответственных исполнителей в кредитной организации, отвечающих за ДБО, поскольку конкретизация их рабочих процедур через функции и операции далеко не всегда может быть точно определена «сверху» исполнительными органами (просто в силу их специфики при работе с системами электронного банкинга и банковскими автоматизированными системами). Актуальность этой темы и ее «ориентированность» на изучение структуры банковских рисков и снижение их уровней в современных условиях банковской деятельности сомнению не подлежит.
Глава 4
Особенности корпоративного управления в условиях электронного банкинга
Мой босс этого не понимал, как не понимал того, что не понимает этого.
Развитие корпоративного управления стало актуальной темой для российского банковского сообщества с начала 2000-х гг., но в отношении высокотехнологичных кредитных организаций дальше деклараций наиболее общего характера дело внедрения его принципов пока не пошло, а распространение новых банковских информационных технологий только осложнило ситуацию. Причины этого заключаются, по-видимому, и в новизне ДБО как такового, и в сложности управления работой автоматизированных систем, составляющих его основу, и в неочевидности подходов к реализации соответствующих контрольных функций руководством кредитных организаций. Как следствие затруднений с решением этих проблемных вопросов, начали реализовываться многообразные компоненты типичных банковских рисков, сопутствующих ДБО, так что кредитные организации и их клиенты стали нести достаточно ощутимые потери. Реализация рисков продолжается до сих пор, и в целом ситуация только осложняется, причем уже в международных масштабах (например, компрометация пластиковых карт). Это означает, что для парирования влияния нетривиальных источников риска требуются новые подходы к УБР, поскольку традиционные методы больше не могут считаться надежными. Это в свою очередь означает необходимость создания новых моделей корпоративного управления для новых технологий.
Несмотря на наличие двух основных документов Банка России, посвященных данной проблематике, а именно писем от 13 сентября 2005 г. № 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях» и от 7 февраля 2007 г. № 11-Т «О перечне вопросов для проведения кредитными организациями оценки состояния корпоративного управления», практическая реализация предложенных в них подходов в условиях применения систем электронного банкинга вызывает очевидные затруднения. В итоге время истинной, так сказать, «корпоративности» управления в новых условиях банковской деятельности, осуществляемой новыми же способами, пока еще не наступило. Как показывают исследования практики применения рассматриваемых технологий, основной проблемой в части корпоративного управления для многих кредитных организаций пока еще является невозможность основывать свою деятельность на детально разработанных и «технологичных» процедурах (компонентов внутрибанковских процессов) просто в силу отсутствия «готовых рецептов» управления. Поэтому в книге предлагается подход к его адаптации исходя из особенностей, которые привносятся в банковскую деятельность внедрением кредитными организациями технологий электронного банкинга и реализующих их систем, основанный на анализе принципов, описанных в упомянутых выше документах.
Внедрение кредитными организациями технологий ДБО приводит к неконтролируемому смещению профилей как минимум пяти типичных банковских рисков, вследствие чего за последние годы и наблюдалось множество случаев реализации их компонентов. В самом возникновении таких компонентов, которое оказалось, судя по всему неожиданным не только для российских кредитных организаций, но и для международного банковского сообщества, ничего удивительного нет, однако в отношении руководства кредитных организаций свою заметную негативную роль сыграл тот разрыв между традиционной интерпретацией банковской деятельности и новым ее содержанием, о котором говорилось выше. Поэтому совершенствование корпоративного управления в условиях применения технологий электронного банкинга, с точки зрения автора, необходимо именно для исключения негативных явлений такого рода. Оно является не просто насущной задачей, но процессом, жизненно необходимым для высокотехнологичных кредитных организаций. В противном случае кредитная организация окажется подвержена действию большинства сопутствующих ДБО факторов операционного, правового и репутационного риска (а в наиболее неблагоприятных случаях — и риска неплатежеспособности), что само по себе приведет к заметным финансовым потерям, а в худшем случае будет иметь место реализация стратегического риска, свидетельствующая о неготовности такой организации к переходу на ДБО, и тогда финансовые потери окажутся максимальными.
В то же время априори понятно, что внедрение новых банковских технологий, особенно таких, которые предполагают дистанционное, а значит, специфическое и отчасти анонимное обслуживание (как следствие дистанционности и отсутствия гарантий идентичности и аутентичности с обеих информационно взаимодействующих сторон), не может не являться в обязательном порядке прерогативой высшего руководства кредитной организации, поскольку любая из таких технологий может оказаться связана с возникновением множества источников (факторов) компонентов упомянутых банковских рисков. В оптимальном варианте все они должны были бы заблаговременно учитываться в кредитной организации в форме адаптации процедур выявления, анализа и оценки банковских рисков. Для каждого из них в отдельности и для всех в совокупности тому имеется ряд причин.
Во-первых, стоимость систем, реализующих ТЭБ, может быть весьма высока, и таким образом одна лишь ошибка в выборе варианта перехода к ДБО может в буквальном смысле «дорого стоить» кредитной организации. Кроме того, далеко не любая технология может оказаться легкой в использовании, а следовательно, оперативно востребованной для клиента, тем более что и уровень компьютерной грамотности среди населения нередко бывает невысок. Также существует проблема интеграции приобретаемой или разрабатываемой системы ДБО с уже действующими банковскими автоматизированными системами, наиболее часто проявляющая себя в информационных сечениях между действующими и вновь внедряемыми автоматизированными системами, а также недостаточной подготовке персонала, работающего с этими системами.
Во-вторых, не исключены, особенно в условиях бума ТЭБ (реально наблюдающегося в нашей стране), случаи применения недостаточно отлаженных, отработанных и всесторонне проверенных систем. К этому примыкает проблема подтверждения соответствия функциональных возможностей вновь внедряемых систем заявленным требованиям. Руководству кредитных организаций, использующих автоматизацию банковской деятельности как таковую (а других сегодня, скорее всего, и не существует), целесообразно по-разному организовывать процедуры приемо-сдаточных испытаний любых БАС (не только систем ДБО) в зависимости от того, разработаны они собственными специалистами (таких кредитных организаций меньшинство), созданы на заказ или приобретены «под ключ». Очевидно, что детальность функционального тестирования (как минимум) на этапе приемо-сдаточных испытаний должна повышаться от первого варианта к третьему, причем точно также растет и его сложность, поскольку работу собственных специалистов проконтролировать существенно проще, чем заниматься вылавливанием «жучков» в автоматизированных системах, внедренных сторонними организациями. Растут и требования к квалификации персонала, выполняющего процедуры такого рода.
В-третьих, не всегда имеются достаточные гарантии защищенности ТЭБ как таковых и соответствующих (реализующих и обеспечивающих их) распределенных компьютерных систем. Это относится как к обеспечению гарантий сохранения банковской тайны, так и к устойчивости к сетевым атакам, авариям, сбоям и другим неприятностям киберпространства. В этом плане целесообразно формировать политику информационной безопасности с учетом особенностей построения систем ДБО и тех зон ответственности кредитной организации, которые ей придется в итоге брать под контроль (совокупная же информация о таких зонах может иметься только у представителей руководства такой организации, которые могут «взглянуть на проблему сверху»). Адаптация этой политики в условиях существенно изменяющегося «периметра информационной безопасности» и применения новых, возможно не очень хорошо освоенных компьютерных технологий может оказаться непростым делом даже только в части ее документального оформления (описания).
В-четвертых, руководству кредитной организации целесообразно изначально задаться вопросом о возможности полноценного контроля использования ТЭБ и реализующих их компьютерных систем, равно как и сотрудников самой организации, которые будут обеспечивать их применение. Понятно, что работу любого специалиста в области информационных технологий может проконтролировать только специалист, имеющий как минимум аналогичную квалификацию (а лучше — более высокую). Отсюда и возникновение одного из оснований для принятия «принципа четырех глаз». В то же время не секрет, что реальным банком является в современных условиях не здание с надписью «Банк имярек» на фасаде, а банковская информационная система с хранилищем данных. Такая система может находиться как в этом же здании, так и в любом другом месте, например на территории провайдера, реализующего процессинг или другой аутсорсинг для кредитной организации. Вполне реально и нахождение такого провайдера вообще в нерезидентной юрисдикции, что нередко встречается при международном разделении труда. Очевидно, что в подобных ситуациях понятие «корпоративность» неизбежно расширяется, выходя за пределы самой кредитной организации. Поэтому ее руководству целесообразно быть в курсе возможных сопутствующих проблем, связанных в том числе с изменениями в профилях банковских рисков и потенциальной потребностью вернуть при необходимости выполнение функций, переданных на аутсорсинг, на свою «территорию» [85] .
85
Эта проблематика анализировалась в статье: Лямин Л.В. Концептуальные вопросы управления аутсорсингом в условиях применения технологий электронного банкинга // Управление в коммерческом банке. 2007. № 5. С. 109–118; 2008. № 1. С. 80–102.
В-пятых, корпоративность управления как таковая немыслима без ее «утверждения» на всех уровнях управления или менеджмента, причем желательно доведение соответствующих идей до исполнителей как минимум на всех участках, критично важных для кредитной организации и выполнения ею своих обязательств перед клиентами, акционерами и различными органами контроля. В этом плане полезно, чтобы в «корпоративном духе» не только проводились вечеринки, приуроченные к знаменательным для организации датам, но и организовывалось информационное взаимодействие между подразделениями кредитной организации (тем более в многофилиальной системе), осуществлялось обучение персонала этой организации наряду с его переподготовкой при внедрении каждой ТЭБ, а также обеспечивалось эффективное управленческое наблюдение (на групповой основе). При этом, кстати, за рубежом считается полезным осведомлять работников не только об их функциональных обязанностях, но и о том ущербе, который они могут нанести организации и себе в случае допущения отклонений от установленных регламентов и моделей корпоративного поведения (в новых технологических условиях).