Применение технологий электронного банкинга: риск-ориентированный подход, Лямин Л. В.

Применение технологий электронного банкинга: риск-ориентированный подход

на обложку

Лямин Л. В.

Шрифт:

Очевидно, и практика изучения применения технологий электронного банкинга в кредитных организациях подтверждает это, что сама собой упомянутая выше модернизация произойти не может, так что вместе с принятием решения о переходе к ДБО клиентов в кредитной организации целесообразно принятие адекватных мер по адаптации прежде всего устоявшихся (в традиционных вариантах) внутрибанковских процессов управления и контроля к новым условиям банковской деятельности, которые в свою очередь обусловлены внедрением новых способов ее осуществления. Для этого (как, впрочем, и при внедрении любой новой информационной технологии начиная с так называемого «электронного документооборота») требуется разработка некой идеологии, принятой на уровне кредитной организации в целом и реализуемой ее органами управления, причем происходить это должно, вообще говоря, при каждом технологическом (и техническом) «перевооружении» этой организации независимо от его масштабов (даже если изменения кажутся не слишком значительными, чтобы об этом вообще задуматься). Надо отметить, что такие технологии, особенно в части ТЭБ и ППР, того стоят.

Важно подчеркнуть, что роль корпоративного управления в адаптации внутрибанковских процессов при внедрении ТЭБ двоякая: во-первых, собственно «корпоративность» должна проявляться в определении состава подлежащих модернизации процессов в их комплексе (на основе определения перекрестных связей, с помощью которых согласуются отдельные процедуры [86] ), во-вторых, обеспечение согласованности адаптации возможно только централизованное, иначе проявятся все негативные характеристики 3-го уровня развития процессного подхода (зависимость результата от квалификации исполнителей в условиях неполного административного контроля). Сказанное относится к так называемым «линейкам подчиненности», которыми определяется доведение управленческих воздействий до исполнителей, но то же самое относится и к организации «линеек подотчетности», обеспечивающих контролируемость исполнения указаний — результатов этих воздействий. В условиях применения в кредитной организации сложных банковских информационных технологий, когда уровни многих компонентов банковских рисков прямо зависят от своевременности принятия и качества управленческих решений, их передачи по иерархии организации, равно как и от способности менеджмента проконтролировать их исполнение в форме специально организованных компьютеризованных процедур, решение таких вопросов целесообразно ставить «во главу угла» ввиду их принципиальной значимости [87] .

Например, распределение функций администрирования автоматизированных систем и вычислительных сетей и контроля реализации этого распределения (обязанностей, ответственности, прав и полномочий, порядков и должностных инструкций), проведения проверок службой внутреннего контроля и службой обеспечения информационной безопасности и т. п.

В качестве одного из наиболее очевидных примеров можно привести определение требований к настройке брандмауэров (сетевых экранов) кредитной организации, которые являются основными средствами защиты ее вычислительных сетей. В этом случае необходима разработка корпоративной политики такой защиты (в том числе допустимых для использования сетевых протоколов, ограничений на доступное внешнее и внутреннее адресное пространство и т. п.), доведение ее до технических исполнителей и проверка соответствия выполненных настроек установленным требованиям специалистами подразделения ИТ, обеспечение информационной безопасности и внутреннего контроля, которые при их проведении должны руководствоваться соответствующими положениями о подразделениях и должностными инструкциями.

В отсутствие официально принятого в кредитной организации (в связи с внедрением ТЭБ) методологического подхода, адекватного изменению ее бизнес-процессов, вновь внедряемые информационные технологии, помимо отсутствия предполагаемых выгод, могут неожиданно стать «головной болью» как для операционных и обеспечивающих подразделений кредитной организации, так и для ее руководителей. Необходимо отметить, что в ходе изучения применения технологий такого рода нередко приходится сталкиваться со своеобразным «руководящим мнением», что любая ТЭБ — это не более чем разновидность упоминавшегося электронного документооборота (или «транспорта» между кредитной организацией и ее клиентами, как уже отмечалось), и доля истины в этом, безусловно, есть. Однако наличие ИКБД, в котором реализуется такой документооборот, взаимная анонимность кредитной организации и клиентов ДБО и использование «высоких технологий» для обеспечения гарантий идентичности агентов информационного взаимодействия, аутентичности его содержания и верификации полномочий оказываются слишком серьезными факторами возникновения дополнительных источников компонентов банковских рисков, чтобы можно было занимать такую «безразличную» позицию в отношении применения этих технологий.

Важно осознавать, что перевод банковской деятельности в виртуальное пространство, сулящий кредитным организациям заметные выгоды, а их клиентам ни с чем не сравнимые удобства, требует принятия «грамотных» решений относительно формирования пруденциальных условий применения технологий и систем электронного банкинга, адекватных их сложности и специфике формируемого при этом ИКБД (с позиций управления и контроля). Для выработки таких решений требуется не только наличие специальной достаточно высокой квалификации (желательной и у менеджмента кредитной организации высшего звена), но и нетрадиционная организация подконтрольности и подотчетности в рамках типовых внутрибанковских процессов [88] . Следует отметить также, что эти процессы, оставаясь типовыми по своему существу, в условиях электронного банкинга приобретают многочисленные новые, нетипичные для традиционной банковской деятельности характеристики, как это будет показано в главе 5. Эти характеристики целесообразно определять для каждой ТЭБ и отражать во внутрибанковских документах начиная с тех, которые регламентируют процесс УБР.

Еще одним простым примером может являться формирование механизма доведения до менеджеров разных уровней информации о сетевых и вирусных атаках, случаях НСД, отказах серверного оборудования разного назначения и т. п. Известно, что если проблема не «докладывается», то она повторяется, причем в кредитных организациях это может продолжаться до тех пор, пока сокрытие негативной информации не приведет к весьма серьезным финансовым потерям их самих или их клиентов (чему немало примеров из российской и зарубежной банковской деятельности). Чтобы создать такие «механизмы» и контролировать их функционирование (допустим, через анализ содержания тех же системных логов и аудиторских трейлов), также необходима специальная квалификация.

4.1. Интерпретация принципов корпоративного управления в приложении к условиям применения электронного банкинга

Интерес зарубежных органов банковского регулирования и надзора к проблематике собственно корпоративного управления наметился уже достаточно давно — разработки в этой области начались более десяти лет назад, однако активно использовавшиеся уже тогда варианты систем электронного банкинга в них не упоминались. Как ни странно, этой проблематике и до настоящего времени должного внимания не уделяется. Организация экономического сотрудничества и развития (ОЭСР) представила первый проект своих рекомендаций весной 1999 г., после чего в том же году аналогичные рекомендации разработал БКБН [89] . Затем, в 2004 г., ОЭСР был выпущен итоговый документ, содержащий описание базовых положений по корпоративному управлению [90] (эти материалы в дальнейшем послужили основой для серии аналогичных национальных западноевропейских и восточноазиатских разработок). В этих материалах определены направления, по которым может оцениваться состояние корпоративного управления, семантически совпадающие с рекомендациями, предложенными БКБН, из числа которых к рассматриваемой теме имеют непосредственное отношение следующие:

Совершенствование корпоративного управления в кредитных организациях // Вестник Банка России. 2001. № 46. 25 июля.

http://www.oecd.org/dataoecd/57/18/32159669.pdf.

распределение полномочий между органами управления;

утверждение стратегии развития деятельности кредитной организации;

контроль за реализацией этой деятельности;

координация управления банковскими рисками;

мониторинг системы внутреннего контроля.

К числу других направлений относятся:

— организация деятельности совета директоров (наблюдательного совета);

— предотвращение конфликта интересов участников;

— отношения с аффилированными лицами;

— определение правил и процедур, обеспечивающих соблюдение принципов профессиональной этики;

— координация раскрытия информации о кредитной организации.

Несмотря на то что содержание рекомендаций, предложенных

упомянутыми выше международными организациями, не вызывает сомнений, все же современные условия финансовой деятельности в целом и банковской деятельности в частности, во многом определяемые обеспечивающими их компьютерными информационными технологиями, требуют специфической детализации в части практического учета их особенностей и содержания адаптации организации корпоративного управления в новых условиях. Объясняется это тем, что, как уже подчеркивалось, обеспечение «пруденциальности» указанных условий требует от совета директоров и высшего руководства кредитной организации проявления совокупной квалификации, позволяющей ориентироваться в киберпространстве ИКБД, управлять процессами, которые в нем протекают, и контролировать их.

Во всех упоминавшихся материалах речь идет преимущественно о распределении функций, обязанностей и ответственности, прав и полномочий, общем содержании тех или иных внутрибанковских документов, ключевых внутрибанковских процессах, характеристиках ответственных лиц кредитных организаций и т. п. С административно-организационной точки зрения вопросы такого рода безусловно важны, ибо они описывают структурную основу банковской деятельности любой кредитной организации. Однако современные и перспективные условия реализации банковского обслуживания оказываются настолько сложны и специфичны, что одних только вопросов общего плана оказывается недостаточно. Теперь на передний план выходит конкретизация содержания процессов, процедур, обязанностей, ответственности, полномочий и т. п., реализуемых на практике. К слову сказать, сама практика как раз и свидетельствует о том, что зачастую правильные административно-организационные решения и положения сопутствующих им внутрибанковских документов на практике оказываются не более чем «декларациями о намерениях». Наиболее типичными примерами этого являются: распределение ответственности, не подкрепленное должными квалификационными требованиями, формально составленные документы (распорядительные, организационные, инструктивные и пр.), «разорванные» «линейки» подчиненности и подотчетности, недопустимая концентрация прав и полномочий, а также самое главное — отсутствие полноценного мониторинга внутрибанковских процессов, т. е. того, что БКБН определяет как «эффективный управленческий контроль» [91] .

Лямин Л.В. Корпоративное управление в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2008. № 3. С. 78–89; № 4. С, 70–83; № 5. С. 68–83.

Усугубляется ситуация тем, что какие-либо конкретные рекомендации относительно организации и содержания корпоративного управления, реализуемого в кредитной организации, внедряющей ТЭБ, пока еще никем не разработаны. В то же время продолжается периодическое обновление зарубежными органами банковского регулирования и надзора своих материалов, посвященных принципиальным вопросам организации корпоративного управления в целом, и даются рекомендации по его совершенствованию. Одним из последних и, наконец-то, наиболее полноценным руководством такого рода явился документ под названием «Совершенствование корпоративного управления в банковских организациях», разработанный БКБН [92] . Этот документ используется здесь в качестве основы для интерпретации подходов к ведению банковского дела в киберпространстве с позиций анализа влияния особенностей вновь внедряемых технологий и систем электронного банкинга на бизнес-модели и внутрибанковские процессы в кредитных организациях.

Enhancing corporate governance for banking organisations. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, February 2006.

В преамбуле к публикуемым рекомендациям БКБН разъясняет, что «практика эффективного корпоративного управления необходима для достижения и поддержания общественного доверия к банковской системе и уверенности в ней, что критично важно для должного функционирования банковского сектора и экономики в целом. Плохое корпоративное управление может привести к банкротству банков, что приведет к значительным потерям общества и последствиям ввиду их влияния на любые „жизнеспособные системы страхования вкладов“’ и возможности более обширных макроэкономических осложнений типа распространения риска [93] и воздействия на платежную систему. Кроме того, плохое корпоративное управление может привести к утрате уверенности рынка в возможностях банков должным образом управлять своими активами и пассивами, включая депозиты, что в свою очередь может спровоцировать отток вкладов или кризис ликвидности». Следует отметить, что такие характеристики, как «эффективное», «плохое», «должным образом», не поясняются, что свойственно материалам БКБН, который обычно не слишком заботится о точном определении понятийного аппарата.

Здесь под распространением риска имеется в виду то, что реализация какого-то фактора или проявление источника риска может оказать влияние на выполнение различных процедур, входящих в состав внутрибанковских процессов. Особенно это касается ситуаций, в которых возможно нарушение целостности банковских или клиентских данных.