Применение технологий электронного банкинга: риск-ориентированный подход

Лямин Л. В.

Принцип 8. Совету директоров и высшему руководству следует понимать операционную структуру банка, включая и то, под какие юрисдикции подпадает банк в своей деятельности, или через посредство структур, препятствующих прозрачности (т. е. должен реализоваться принцип «знай свою структуру»).

Этот принцип — последний по порядку, но один из первых по значимости, впрочем, его присутствие вызывает некоторое удивление из-за своей самоочевидности: если совет директоров и высшее руководство кредитной организации не понимают ее операционной структуры, то вряд ли их можно считать реальными руководителями, да и продлиться такое «руководство» может недолго. Другое дело, что при применении ТЭБ эта структура может усложниться как за счет применения распределенных компьютерных систем, локальных и зональных вычислительных сетей, так и в случаях интернет- и мобильного банкинга — глобальных информационных сетей.

Представить себе все информационные контуры банковской деятельности, которые возникают при множественном применении ТЭБ, а следовательно, и уязвимости кредитной организации и ее клиентов с точки зрения смещения профиля рисков может оказаться весьма затруднительно.

В отношении ИКБД можно акцентировать ряд вопросов, прежде всего возможное содержание работы кредитной организации через те или иные структуры, которые могут снижать прозрачность его деятельности. В приложении к ТЭБ это, как правило, различные провайдеры, которые осуществляют те или иные виды обслуживания (как, например, широко известная система Factura.ru) или процессинг и хранение банковских данных. Кроме того, во многих случаях ДБО кредитная организация неизбежно и с клиентами взаимодействует через провайдеров. То же самое относится к ситуациям, когда такая организация или ее подразделения работают через «другие юрисдикции», — в случае трансграничных операций и передачи банковских и клиентских данных. Во всех этих случаях руководству кредитной организации, как указывается в материалах БКБН, следует адаптировать функции, выполняемые службой внутреннего контроля, и управление рисками с учетом внешних факторов такого рода. Сюда же уместно добавить и некоторые аспекты осуществления финансового мониторинга, возникающие из-за известной анонимности ДБО (двусторонней). Поэтому к наращиванию «технологической базы» банковской деятельности целесообразно относиться с известной осторожностью, не внедряя новые технологии до тех пор, пока не будет достигнуто полное понимание их специфики.

Несмотря на объемность проведенного рассмотрения, на взгляд автора, к восьми рассмотренным принципам можно было бы обоснованно добавить еще два немаловажных, которые могут иметь прямое отношение к корпоративному управлению в условиях применения ТЭБ, а именно:

1) совету директоров и высшему руководству следует сознавать повышение значимости обеспечения информационной безопасности внутрибанковских процессов, процедур и массивов данных, обрабатываемых и хранимых кредитной организацией, в условиях применения технологий электронного банкинга;

2) совету директоров и высшему руководству следует четко видеть зависимость кредитной организации от сторонних организаций, не имеющих прямого отношения к банковской деятельности, но обеспечивающих ее осуществление (т. е. от провайдеров и вендоров).

На самом деле обеим этим проблемам БКБН уделял известное внимание в базовом материале, посвященном принципам управления рисками при электронном банкинге [105] , и поскольку тогда значимость их подчеркивалась, несколько странно отсутствие упоминания о них в анализируемом документе. Внедрение новых технологий должно было бы приводить как к пересмотру политики обеспечения информационной безопасности, так и к дополнительному анализу ситуации, например, в плане принятия решения о необходимости разработки частных политик безопасности для каждой из систем ДБО. Кстати, что касается обеспечения информационной безопасности, то еще в одном из более ранних документов 1998 г. БКБН говорилось о необходимости распространения внутреннего контроля на его оценку в целом, однако в этой публикации этот вопрос не только не акцентирован, но и вообще опущен. Тем не менее он является принципиально важным, так как от качества обеспечения информационной безопасности в современных условиях (применения ТЭБ) может непосредственно зависеть «жизнеспособность» кредитной организации.

105

Risk Management Principles for Electronic Banking.

Принцип же, касающийся отношений с провайдерами, предполагает осознание зависимости кредитной организации от компаний, которые обеспечивают передачу, обработку, хранение массивов банковских данных или реализуют другие функции, переданные на аутсорсинг. Основное внимание здесь логично уделять при необходимости вариантам резервирования и оперативной смены провайдера, а также в предельном случае оперативного возврата выполнения переданных на аутсорсинг функций на свои «мощности» без прерывания операционной деятельности и выполнения своих обязательств перед клиентами. Последнее требует организации соответствующего планирования и тестирования планов такого рода на их реализуемость

Адаптация корпоративного управления к условиям применения ТЭБ может показаться

или оказаться достаточно трудоемким и аналитически сложным процессом. На самом деле ничего сверхсложного в создании пруденциальных условий применения любых банковских информационных технологий нет. Достаточно грамотно решать административные, организационные, технологические и технические вопросы в рамках полноценного и адекватного масштабам и сложности банковской деятельности корпоративного процесса. Тот факт, что вопросы корпоративного управления вышли сегодня на первый план в проблематике гарантировано эффективной банковской деятельности, свидетельствует и о том, что накопилась критическая масса проблем, попадающих в данную категорию, и о том, что необходим качественный скачок в организации внутрибанковских процессов и процедур для их решении, и о том, что невнимание к проблемам такого рода может оказаться серьезнейшим фактором риска для современных высокотехнологичных кредитных организаций.

Глава 5

Модернизация основных внутрибанковских процессов, связанных с электронным банкингом

Главное — не бояться, что ничего не выйдет.

П. Коэльо. «Алхимик»

Процессный подход позволяет не только вычленить подлежащие модернизации внутрибанковские процессы, но и обеспечить согласование между самими процессами и отдельными составляющими их процедурами (чего в противном случае добиться нередко не удается). На основе понятия «жизненный цикл» к новым способам и условиям осуществления банковской деятельности целесообразно адаптировать как минимум следующие основные внутрибанковские процессы:

— документарного обеспечения;

— управления рисками банковской деятельности;

— применения ИТ (информатизации или автоматизации);

— обеспечения информационной безопасности (ОИБ);

— внутреннего контроля (ВК);

— финансового мониторинга (ФМ);

— юридического (правового) обеспечения

— обслуживания клиентов (включая претензионную работу),

а также внедрить новый процесс и реализующие его процедуры, а именно: взаимоотношения с провайдерами.

В зависимости от специфики структуры, характера, масштаба деятельности кредитной организации этот перечень может быть дополнен. Ответственность за его определение и уточнение с течением времени и внедрением новых банковских информационных технологий лежит на совете директоров и высшем руководстве кредитной организации, переходящей к ДБО клиентов.

В современных условиях банковской деятельности своевременную (упреждающую) и адекватную адаптацию внутрибанковских процессов кредитной организации к изменениям в способах осуществления этой деятельности, вносимым технологиями электронного банкинга, целесообразно рассматривать как главное условие проактивного и эффективного парирования неконтролируемого смещения ее профиля риска. При этом важно подчеркнуть логику осуществления адаптации: после принятия решения о внедрении той или иной ТЭБ процессный подход вначале применяется к УБР, а затем, после определения требуемых для него новых или модифицированных процедур такого управления, — к остальным внутрибанковским процессам. Завершающим этапом следует считать проведение контрольных процедур по завершении адаптационных мероприятий на соответствие требованиям «усовершенствованного» таким образом УБР. Как правило, ЖЦ любого процесса в организации строится по четырехэтапной схеме, определяемой типовой последовательностью вида:

«создание —> внедрение —> контроль —> совершенствование».

На первом этапе определяются стратегические цели, которые предполагается достигнуть с помощью этого процесса, описываются его модель и структура, состав его характеристик и показателей, а также требуемое обеспечение. На втором этапе создаются условия для реализации процесса, информационно-технологическая инфраструктура, банковские автоматизированные системы (возможно, интегрируемые с уже действующими), выбираются провайдеры необходимых услуг и поставщики технического оборудования, распределяются ответственность и обязанности, проводится обучение персонала. На третьем этапе организуется сбор оперативной контрольной информации о выполнении процесса, набор статистики по показателям и характеристикам процесса и комплексный их анализ. На четвертом этапе проводится сопоставление существующего процесса с позиции «как есть» с его первоначальной моделью с тем, «как должно быть», оцениваются результаты анализа характеристик и показателей, после чего может быть принято решение о целесообразности модификации или модернизации процесса либо о его замене. То же самое происходит с формированием поддерживающих процесс условий и обеспечением его реализации, что имеет прямое отношение к применению технологий электронного банкинга.