Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
В то же время, как было показано в главе 2, методологию определения и анализа указанных компонентов до настоящего времени нельзя считать установившейся ни за рубежом, ни в нашей стране, а следовательно, отечественные кредитные организации вынуждены самостоятельно разрабатывать методические материалы для осуществления УБР на основе анализа принятой ими организации и условий банковской деятельности, вида ДБО, формирующегося ИКБД, АПО СЭБ, взаимодействия структурных подразделений и т. п. Результатом такого анализа становится (точнее, должно стать) определение зон концентрации источников компонентов банковских рисков для кредитной организации и ее клиентов и зон ее ответственности, что служит дополнением состава ролевых функций ее вышеперечисленных служб.
Поскольку указанные зоны заведомо не совпадают (руководство и специалисты кредитной организации не могут принимать меры, парирующие все угрозы, ассоциируемые со всеми источниками компонентов банковских рисков), необходимо четко определить, какие конкретно действия следует предпринимать в отношении угроз, источники которых находятся в пределах «досягаемости», а в отношении каких стоит принять меры хеджирования (предполагая возможное «понесение ущерба»). Такую классификацию было бы предпочтительно отразить в документах, относящихся к определению содержания процесса УБР, в сопоставлении с конкретными факторами возникновения источников компонентов банковских рисков. С некоторой долей условности ориентация внутрибанковских процессов управления и контроля показана на рис. 5.2, где для ДБО в варианте интернет-банкинга кружками отмечены основные зоны концентрации этих источников, а стрелками, направленными от «руководства» кредитной организации, — воздействия на эти источники в рамках УБР, применения ИТ, ОИБ, ВК и пр. (приведенная схема не полна: на ней не показаны почтовые сервера, демилитаризованные зоны (DMZ) и другие возможные элементы, но она вполне достаточна для иллюстрации последующего изложения; схема формирования DMZ будет приведена в параграфе 5.4).
Для эффективного управления и достижения стратегической цели кредитной организацией, использующей технологии электронного банкинга, ее руководству необходима оценка уровней принимаемых ею банковских рисков, адекватная сложности и особенностям каждой из таких технологий, а также мониторинг этих уровней, которые должны удерживаться в допустимых для кредитной организации пределах, устанавливаемых ее внутренними документами, за счет процесса УБР, реализуемого посредством своевременных и адекватных действий ее высших исполнительных органов, менеджеров разных уровней и исполнителей по предотвращению возникновения и реализации источников компонентов типичных банковских рисков. Действия эти регламентируются внутрибанковскими документами (на основе того же анализа), которые описывают модифицированный процесс УБР и связанные с ним процедуры в составе других внутрибанковских процессов, адаптируемых к применению ТЭБ (каждой, включая перспективные) для ДБО.
При модернизации процесса УБР и адаптации его содержания необходимо помнить, что любая схема измерения и мониторинга риска хороша лишь настолько, насколько верна, надежна и устойчива заложенная в ней методология выявления, оценивания и анализа рисков, ассоциируемая с составом и вариантами ДБО. Поэтому и возникает весьма серьезная методологическая проблема, обусловленная тем, что разным архитектурам и составу банковских автоматизированных систем свойственны разные наборы факторов и подмножества источников компонентов банковских рисков. Следовательно, руководство кредитной организации сталкивается с необходимостью формирования некоего универсального подхода, позволяющего конкретизировать управление банковскими рисками по отдельным направлениям ее деятельности на основе единой (или обобщенной) риск-ориентированной методологии. Методологией такого рода, вернее, одним из наиболее «удачных» по состоянию на настоящее время ее компонентов (пока) является подход к определению содержания УБР, изложенный в работе БКБН, называемой «Принципы Управления Рисками для Электронного Банкинга» [107] .
107
Risk Management Principles for Electronic Banking.
В этом достаточно обширном материале отмечено прежде всего, что: «Электронный банкинг… ведет к возникновению новых бизнес-моделей, в которых участвуют банки и небанковские организации…», при этом «…профиль риска у каждого банка свой и требует применения такого подхода к снижению влияния рисков, который соответствует масштабу операций в рамках электронного банкинга, реальному влиянию… рисков, а также готовности и способности конкретного учреждения управлять этими рисками».
В связи с этим в рассматриваемом материале определены так называемые «14 базовых принципов» для того, чтобы, как сказано, «помочь банкам распространить существующие в них процедуры наблюдения за рисками на деятельность в области электронного банкинга». Эти базовые принципы разделены на три тематические группы:
1. Эффективное наблюдение со стороны руководства за деятельностью в рамках электронного банкинга.
2. Организация полноценного процесса контроля безопасности.
3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.
4. Аутентификация клиентов в операциях электронного банкинга.
5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках электронного банкинга.
6. Должные меры по обеспечению разделения обязанностей.
7. Необходимые средства авторизации в системах электронного банкинга, базах данных и прикладных программах.
8. Целостность данных в транзакциях электронного банкинга, записях и информации.
9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга.
10. Конфиденциальность важнейшей банковской информации.
11. Правильное раскрытие информации для обслуживания в рамках электронного банкинга.
12. Конфиденциальность клиентской информации.
13. Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках электронного банкинга.
14. Планирование реагирования на случайные события.
Надо отметить, что акцент только на два банковских риска не следует считать «хрестоматийным», поскольку он типичен только для стран Западной Европы в силу сложившихся там за более чем три столетия традиций ростовщичества (банковской деятельности); в российских условиях внимание необходимо уделять всем пяти упомянутым ранее банковским рискам.
Далее подробно рассматриваются принципы пруденциального осуществления УБР в условиях применения технологий электронного банкинга. Необходимо заметить, что первая группа принципов по существу устанавливает своего рода «квалификационные требования» к высшему руководству кредитных организаций, применяющих технологии электронного банкинга, или же их исполнительным органам.
Принцип 1. Совету директоров и высшему руководству следует установить эффективное управленческое наблюдение над рисками, связанными с деятельностью в рамках электронного банкинга, включая организацию специального учета, политики и средств контроля для управления этими рисками.
В комментариях к этому принципу подчеркивается, что «совету директоров и высшему руководству следует удостовериться в том, что их банк не включается в новый бизнес в сфере электронного банкинга или не внедряет новые технологии без наличия необходимых знаний для обеспечения компетентного наблюдения за управлением рисками. Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых данным банком технологий электронного банкинга и соответствующих приложений. Адекватная квалификация является принципиально важной независимо от того, находятся системы электронного банкинга и соответствующие варианты обслуживания под собственным управлением банка или эти функции переданы третьим сторонам. Процессы наблюдения со стороны высшего руководства следует осуществлять на динамической основе, чтобы обеспечивалось эффективное вмешательство и коррекция любых материальных проблем с системами электронного банкинга или недостатков в обеспечении безопасности [108] , которые могут иметь место».
108
Как будет показано ниже, понятие «безопасность» трактуется БКБН в широком смысле, включая, например, осуществление ФМ, на чем акцент в данном материале не сделан.