Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Однако даже это принципиальное усложнение состава задач службы ВК их состав не исчерпывает. Дело в том, что в современных технологиях ДБО велика роль провайдеров кредитных организаций, от которых, как уже отмечалось, во многом зависит надежность банковской деятельности — в восприятии удаленных клиентов; да и для самих этих организаций надежность провайдеров с точки зрения обеспечения гарантий уровня обслуживания часто бывает критично важной. В то же время вопросы контроля надежности провайдеров, определения требований к взаимоотношениям кредитных организаций с провайдерами, управления этими отношениями со стороны первых, оценки уровня обслуживания и ряд других остаются неурегулированными в законодательном плане [156] . Необходимо осознание руководством кредитной организации того, что внедрение технологий электронного банкинга радикально изменяет (расширяет) содержание внутреннего контроля, так что если он не подвергнется модернизации, то кредитные организации вряд ли смогут аргументированно доказать его адекватность изменившимся условиям осуществления ВК.
156
В
Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве [157] .
157
Лямин Л.В. Оптимизация принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 3. С. 109–120.
В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.
Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:
выполнение банковских операций и сделок;
подготовка регламентной банковской отчетности;
оценка соответствия установленным требованиям.
Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLA с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.
Таким образом, для адаптации процесса ВК, как неотъемлемой составляющей банковской деятельности, целесообразно известное переосмысление, в отношении конкретных процедур, составляющих этот процесс и определяемых требованиями оптимизации ППР в части УБР электронного банкинга. Тем более что ни БКБН, ни другие зарубежные органы банковского регулирования и надзора не предлагают новых материалов, которые устанавливали бы прямые связи между особенностями ВК при использовании современных банковских информационных технологий. В анализировавшемся выше материале БКБН [158] , посвященном принципам управления рисками при электронном банкинге, упоминалось, что для обеспечения эффективного ВК над ТЭБ нужен постоянный адекватный контроль со стороны руководства кредитной организации и что один из важнейших принципов ВК — это разделение обязанностей. Во введении к не рассматриваемому здесь и более раннему, а потому уже не во всем актуальному руководству по этой же теме было сказано, что «…эффективные средства внутреннего контроля являются критичным компонентом банковского менеджмента и основой безопасного и надежного функционирования банковских организаций». При этом, впрочем, не было определено понятие эффективности и не обосновывалась значимость ВК как такового для безопасной и надежной банковской деятельности кредитных организаций. Несмотря на важность перечисленных в упомянутой работе положений, их все-таки недостаточно для имеющего прикладное значение анализа изменений в ВК, связанных с ТЭБ.
158
Risk Management Principles for Electronic Banking.
Тем не менее основания для методических разработок, адаптирующих ВК к переходу к ДБО, можно найти, если попытаться интерпретировать разработки зарубежных органов банковского регулирования и надзора в области ВК, в частности материалы БКБН, с позиций учета состава и влияния факторов возникновения дополнительных компонентов банковских рисков, ассоциируемых с ДБО, а также специфики возникновения и проявления источников этих компонентов. В последний раз БКБН в своих публикациях уделял внимание принципам организации и осуществления ВК в кредитных организациях в 1998 г. [159] С тех пор каких-либо новых рекомендаций по этой тематике в адрес кредитных организаций не поступало, несмотря на то что за прошедшие годы в банковской сфере произошли значительные изменения, особенно в части сервисных технологий банковской деятельности, основывающихся на разнообразном АПО ДБО. Как бы то ни было, упомянутый материал, обрисовывающий общую схему ВК в кредитной организации, вполне пригоден для интерпретации в отношении электронного банкинга.
159
Framework for Internal Control Systems in Banking Organisations. Basel Committee on Banking Supervision, Basel, Bank for International Settlements, September 1998.
Рассматриваемая работа (далее — Рекомендации) была ориентирована, как заявлялось, на «совершенствование банковского надзора с помощью рекомендаций, способствующих надежному управлению рисками». В ней была определена общая схема оценивания органом банковского надзора СВК кредитной организации, а фактически — модель СВК, признаваемая этим органом, которая базировалась на 13 принципах, предназначенных для использования как при совершенствовании банковского надзора, так и при оценивании системы ВК кредитной организации. Как было сказано во введении к этому материалу, «эти принципы имеют общий характер, и органам надзора следует использовать их при оценке своих собственных методов и процедур надзора для мониторинга организации банками своих систем внутреннего контроля». Одновременно однозначно указывалось на то, что «данные принципы предоставят полезную схему для эффективного надзора за системами внутреннего контроля». Таким образом, очевидно, что назначение принципов изначально полагалось двояким.
Постулировалось также, что в этом материале «описаны безусловно необходимые компоненты надежной системы внутреннего контроля», хотя в явной форме эти компоненты не предлагались банкам как обязательные для реализации. Следует, кстати, отметить, что однозначных предложений такого рода в документах БКБН вообще не встречается, и разговор обычно ведется с позиций пруденциальной организации внутрибанковских процессов, систем и процедур, реализуемых такими системами, и так называемой «лучшей практики» (без ее определения, естественно). Учитывая «надзорный» характер работы службы ВК в кредитной организации, легко прийти к заключению о пригодности рассматриваемых рекомендаций и их интерпретации для определения содержания процесса ВК в высокотехнологичной кредитной организации.
Можно заметить, что БКБН изначально строит свои Рекомендации так, как будто организация и содержание деятельности СВК в кредитных организациях совершенно не зависят от того, какие именно банковские информационные технологии ими применяются. С этим вполне можно было бы согласиться, но только в случае рассмотрения проблематики ВК с самых общих позиций. В то же время, находясь на таких позициях, в условиях ДБО невозможно определить не только четкие требования к внутрибанковским процессам и процедурам, так или иначе связанным с ВК, но даже пути и подходы к их организации, не говоря уже о такой «конкретике», как, например, квалификационные требования к персоналу СВК, его профессиональной подготовке и к сопровождению ДБО. В рассматриваемом материале прямо сказано, что «данное руководство не акцентируется на специфических областях или деятельности банковской организации», поскольку конкретная реализация ВК «зависит от характера, сложности и рисков, связанных с деятельностью определенного банка». В то же время в основаниях для излагаемого БКБН подхода отмечается, что «…системы контроля, хорошо работающие в случаях предоставления традиционных или простых услуг, могут оказаться непригодными при предоставлении более сложных или комплексных услуг». Тем не менее содержание ВК концентрируется именно на деятельности кредитной организации (а не только на выполняемых ею операциях) и служит управлению ею (хотя и опосредованно, но явно — в плане ИСУ и ППР), а поэтому возникает закономерный вопрос: как все-таки учитывать в его проведении характер, сложность и риски, связанные с электронным банкингом?