Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
В этом принципе заложены очень важные идеи преемственности и обеспечения ее на разных уровнях иерархии кредитной организации. В то же время упоминавшийся ранее разрыв между традиционным восприятием содержания банковской деятельности и новыми способами и условиями ее осуществления может и здесь сыграть негативную роль, приводя к нарушению непрерывности и целостности корпоративного управления. Проблемы заключаются в том, что, во-первых, в условиях ТЭБ не так просто обеспечить это «должное наблюдение», о чем уже упоминалось выше, и, во-вторых, не так просто гарантировать адекватное понимание особенностей технологий и систем ДБО на разных уровнях иерархии в кредитной организации. Простейшим примером в этом случае может служить содержание должностных инструкций, которое варьируется на разных уровнях менеджмента и нередко радикально отличается от исполнительского уровня.
Опыт практического изучения этого, казалось бы достаточно «узкого» вопроса свидетельствует, что понимание того, каким образом можно обеспечить
Практически любой контроль в компьютерных системах обеспечивается за счет формирования и ведения специальных файлов: системных журналов (так называемых «логов») и аудиторских журналов («трейлов»). Специалисты очень хорошо понимают ценность таких файлов, особенно когда возникает необходимость в системных «откатах» и восстановлении данных и (или) процессинга из-за сбоев или ошибок, в расследовании инцидентов (в том числе информационной безопасности), возникновении ситуаций отказа от операции и т. п. Однако внедрить всю «линейку» подчиненности и подотчетности с тем, чтобы руководство кредитной организации могло получить как можно более полную управленческую информацию в любой момент времени, организовать соответствующие мероприятия в иерархии подчиненности и проконтролировать их выполнение с доведением до конкретных массивов банковских и клиентских данных, — это уже искусство корпоративного управления (к тому же если происходит все это в многофилиальной системе, в которой филиалы кредитной организации также осуществляют ДБО).
Принцип 5. Совету директоров и высшему руководству следует эффективно использовать результаты работы, выполняемой службой внутреннего аудита, внешними аудиторами и службой внутреннего контроля.
В связи с этим принципом подчеркивается, что «высшему руководству следует осознавать значимость эффективного внешнего и внутреннего аудита, а также контроля в обеспечении долгосрочной надежности банка». В этом отношении необходимо заметить, что, во-первых, квалификация аудиторов должна позволять им выполнять свою работу в высокотехнологичной среде, а во-вторых, учитывая не столь долгую практику аудиторской деятельности в России вообще, для выбора «подходящей» в конкретной ситуации аудиторской компании потребуется, вероятно, провести достаточно объемный анализ этого рынка услуг в поисках специалистов нужной квалификации. Понятно, что это «по силам» не каждой кредитной организации, так как для оценки уровня квалификации необходимо располагать сопоставимой суммой знаний — если не большей, то и не меньшей.
Вопросы осуществления внутреннего и внешнего аудита в связи с применением кредитными организациями ТЭБ до настоящего времени не прорабатывались ни в банковском сообществе, ни законодателями. Существуют отдельные рекомендации, разработанные БКБН и другими зарубежными органами банковского регулирования и надзора, но считать их адекватными с точки зрения осознания значимости этой проблематики пока еще преждевременно, хотя ряд российских кредитных организаций и дочерних организаций зарубежных коммерческих банков имеют опыт привлечения внешних аудиторов информационных технологий, но делают это «по личной инициативе» и без тщательной проработки программ таких проверок (на основе установленной методологии).
В последнее время все большую актуальность вместе с внедрением технологий электронного банкинга и связанных с их реализацией банковских автоматизированных систем приобретает также проблематика осуществления внутреннего контроля в кредитных организациях, использующих такие технологии [104] . Руководству кредитных организаций, внедряющих ТЭБ, целесообразно учитывать тот факт, что дело с этими технологиями «зашло далеко» и обратной дороги, скорее всего, нет. Поэтому настал момент «остановиться и оглянуться», оценивая состояние внутреннего контроля в первую очередь
104
Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52.
Принцип 6. Совету директоров следует обеспечивать соответствие политики и практики выплаты вознаграждения корпоративной культуре банка, долгосрочным ориентирам (целям) и стратегии, а также условиям контроля.
Этот принцип касается рассматриваемой тематики, пожалуй, только в части оплаты труда наиболее квалифицированных специалистов, непосредственно работающих с системами электронного банкинга: администраторов различных направлений, но он является весьма важным. В комментариях БКБН к этому принципу сказано, что, во-первых, «отсутствие связи между стимулирующим вознаграждением для членов совета директоров и высшего руководства и долгосрочной деловой стратегией может привести к действиям, противоречащим интересам банка и его акционеров…» и, во-вторых, что «совету директоров или специально назначенному комитету следует определить и установить вознаграждения для членов совета директоров и высшего руководства, соответствующие принятой политике компенсации, а также гарантировать, что такое вознаграждение соответствует культуре банка, долгосрочным целям и стратегии, условиям контроля». Приведенные комментарии вряд ли можно считать полными, и неполнота эта обусловлена, по-видимому, некоторой «удаленностью» специалистов БКБН от реальности.
В этом принципе логично было бы упомянуть тех специалистов, от которых реально зависит эффективное функционирование кредитной организации, а именно тех, кто управляет ее БАС и системами ДБО. Практически это означает целесообразность адекватной оплаты квалификации, т. е. создание условий «удержания» наиболее квалифицированных специалистов, непосредственно работающих с ТЭБ. Это относится в первую очередь к различным администраторам БАС и компонентов распределенных компьютерных систем, но не только к ним. Не секрет, что такие специалисты, безусловно, считают себя «самыми умными» (и иногда реально близки к этому состоянию), вследствие чего они нередко приходят к выводу о явно недостаточной оценке своего труда руководством кредитной организации. Это свойственно различным специалистам в области ИТ и их руководителям в структуре иерархии кредитных организаций, и может привести к проблемам.
В настоящее время уже отмечаются заметные миграционные процессы в банковском секторе, связанные не только с индивидуальными, но и с групповыми переходами «команд» специалистов ИТ из одной кредитной организации в другую. Вместе с собой эти люди уносят большие объемы знаний, причем не только специальных, но и о БАС и СЭБ той кредитной организации, которую покидают. Во многих публикациях в последнее время как в нашей стране, так и за рубежом обращается внимание на то, что при неблагоприятном стечении личных обстоятельств специалисты наиболее высокой квалификации способны нанести и наиболее серьезный ущерб интересам как самой кредитной организации, так и ее клиентов. Тот факт, что в рассматриваемом принципе БКБН речь идет только о членах совета директоров и высшего менеджмента кредитной организации, похоже, свидетельствует о том, что и в этом комитете не до конца осознают степень зависимости современной банковской деятельности от информационных технологий и реализующих эти технологии автоматизированных систем.
Принцип 7. Управление банком должно быть прозрачным.
Этот принцип касается в основном устранения конфликтов интересов и к рассматриваемой тематике не имеет прямого отношения. Тем не менее надо кратко отметить, что в одном из пунктов комментариев к этому принципу упоминается, что «желательно своевременное и точное раскрытие на общедоступных web-сайтах кредитной организации» сведений о ее структуре, правах собственности и внутрибанковской политике (просто в качестве дополнения к установленным формам публикуемой банковской отчетности сказанное не следует воспринимать как исчерпывающий перечень). При этом отмечалось, что раскрываемую информацию целесообразно соотносить с размером, сложностью, структурой собственности, экономической значимостью и профилем риска банка. Можно сделать замечания к этим положениям в том плане, что получение информации через Интернет в современном мире становится отнюдь не дополнительным, а одним из основных способов информирования для многих представителей общества. Поэтому, во-первых, значимость представительства в Интернете и его информационного контента трудно переоценить, а во-вторых, учитывая такую значимость, логично предположить, что вопросы организации, ведения и сопровождения задействуемых кредитной организацией web-сайтов, равно как и соответствующего контроля (включая определение содержания отношений с компаниями, которые могут отвечать за функционирование представительства кредитной организации в мировой Сети), также попадают в сферу интересов совета директоров и высшего руководства кредитных организаций.