Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Ниже проводится рассмотрение предлагаемых БКБН принципов, описывающих организацию ВК, которые каждая кредитная организация может использовать для формирования собственной действенной методики осуществления ВК (изложив ее во внутренних документах, представляемых службе банковского надзора) и дополнения ее такой методикой выявления, оценки, анализа, мониторинга банковских рисков и управления ими, которая будет максимально учитывать особенности построения банковских автоматизированных систем, архитектур их вычислительных сетей, систем электронного банкинга и АЛО, на котором эти системы базируются. Сказанное относится и к реинжинирингу СВК кредитной организации в целом в связи с внедрением ТЭБ, что определяется решениями ее высшего руководства в соответствии с внутрибанковским мета-процессом, связанным с переходом к ДБО.
Принцип 1. Совет директоров должен нести ответственность за утверждение и периодическую проверку общей бизнес-стратегии и наиболее важных политических решений для банка, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков и гарантирование того, что высшее руководство принимает необходимые меры для идентификации, измерения, мониторинга и контроля этих рисков, утверждение организационной структуры, а также обеспечение мониторинга со стороны высшего руководства эффективности системы внутреннего контроля. Совет директоров является в конечном счете ответственным за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля.
Анализируя содержание этого принципа, можно предположить, что система ВК может считаться эффективной, если в результате ее работы агрегированный риск, принимаемый кредитной организацией, окажется равным так называемому «чистому риску», который определялся ранее. Отсюда следует вывод, что в руководящие органы этой организации должны входить специалисты, разбирающиеся и в банковских рисках, и в их источниках, и в измерении рисков, и в мероприятиях по воздействию на источники рисков с целью исключения или снижения их влияния на результаты принятия решений (в рамках ПСУ). В органах банковского регулирования и надзора США считается, что такие руководители в административной иерархии кредитной организации соответствуют по уровню вице-президенту и менеджеру отдельного бизнес-направления (который определяется как «Chief Executive Officer» [160] ).
160
Large Bank Supervision. Comptroller’s Handbook. EP-LB.
В комментариях к этому принципу отмечается, что «совету директоров банка рекомендуется включить в свою деятельность в части ВК:
1) регулярное обсуждение с руководством эффективности системы ВК;
2) своевременные запросы оценок средств ВК со стороны руководства, внутренних и внешних аудиторов;
3) периодический контроль выполнения руководством рекомендаций аудиторов и надзорных органов по устранению недостатков В К;
4) периодическую проверку следования стратегии банка и ограничению уровней банковских рисков»
Здесь же упоминается возможность формирования в помощь совету директоров кредитной организации дополнительного контрольного органа — «аудиторского комитета», который «должен состоять из независимых директоров, имеющих представление о финансовой отчетности и средствах ВК». В обязанности этого комитета входят контроль финансовой отчетности и наблюдение за функционированием СВК. По-видимому, в дальнейшем (в формулировке принципа 11) именно эта функция обозначается как «мониторинг внутреннего контроля». Однако одновременно говорится, что «аудиторский комитет, как правило, наблюдает за деятельностью департамента внутреннего аудита банка, непосредственно взаимодействует с ним, а также осуществляет основное взаимодействие с внешними аудиторами». Про СВК не сказано ничего, вследствие чего ситуация с множащимися контрольными органами представляется несколько запутанной.
Как бы то ни было, относительно электронных банковских технологий сказанное выше означает, что и в совете директоров кредитной организации, и в ее высшем руководстве (да, пожалуй, и в аудиторском комитете) крайне желательно присутствие таких специалистов, которые имеют представление о распределенных компьютерных системах в целом, о построении информационных контуров банковской деятельности и о тех угрозах безопасности, целостности операций и данных, как факторах риска, которые типичны для таких контуров (что позволяет провести параллели с материалом в Risk Management Principles for Electronic Banking). На практике такая компетентность проявляется по-разному: в принятии обоснованных стратегических решений относительно внедрения технологий ДБО как таковых и их отдельных вариантов (в общем случае, с исключением повышения уровней банковских рисков, рассматривавшихся в главе 2), проведения соответствующей маркетинговой компании, определения тарифных планов, содержания договоров с клиентами, контрагентами и другими провайдерами (с позиций удержания уровней типичных банковских рисков в допустимых пределах), реализации функций ОИБ, ВК и ФМ и т. п. При этом само понятие адекватности ВК предполагает, что все перечисленное будет относиться и ко всем видам банковских операций, выполняемых кредитной организацией, и к предоставляемым ею видам обслуживания клиентов, причем с помощью всех используемых средств автоматизации этого обслуживания (ИКБД). Наконец, предполагается, что конкретные представители высшего руководства кредитной организации способны предъявить требования как к составу и организации СВК, так и к составу используемого АПО, а также убедиться в том, что эти требования реально выполняются (сказанное относится к так называемому «мониторингу системы ВК», о чем идет речь в Положении 242-П).
Принцип 2. Высшее руководство должно нести ответственность за реализацию стратегии и политики, утвержденных советом директоров, разработку процессов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком, поддержание организационной структуры, обеспечивающей четкое распределение ответственности, полномочий и подотчетности, гарантирование эффективного выполнения делегированных полномочий, внедрения надлежащей политики внутреннего контроля, а также мониторинг адекватности и эффективности системы внутреннего контроля.
В комментариях к этому принципу постулируется, что высшее руководство кредитной организации несет ответственность за выполнение директив совета директоров, включая реализацию стратегии и политики, а также за организацию эффективной СВК. Вместе с тем указывается, что «члены высшего руководства обычно делегируют ответственность за внедрение специальной политики и процедур ВК, связанных со специфической деятельности тех или иных подразделений банка, на руководителей этих подразделений, при сохранении наблюдения над ними». Здесь заложено (и далее просматривается практически во всех остальных принципах) коренное отличие от подхода к организации ВК в отечественных кредитных организациях, а именно «распределение» функций ВК практически по всему персоналу кредитной организации вместо формирования в ней специализированного подразделения В К, подчиняющегося непосредственно высшему руководству и являющегося ядром СВК [161] .
161
Лямин Л.В. Пруденциальная организация и жизненный цикл внутреннего контроля в условиях электронного банкинга // Внутренний контроль. 2009. № 1. С. 82–92; № 2. С. 64–75; № 3. С, 90-100.
В то же время, поскольку применение ТЭБ затрагивает работу нескольких структурных подразделений кредитной организации, логично использовать аналогичное предложенному БКБН распределение функций ВК. Чтобы процесс ВК автоматизированной и распределенной через ИКБД банковской деятельности охватывал все внутрибанковские процессы, процедуры и функции, выполняемые кредитной организацией, наряду с внутренними и внешними взаимосвязями, служба ВК должна располагать возможностями, механизмами и средствами адекватного информационно-аналитического обеспечения своей деятельности. Следствием этого становится гарантированно полное и своевременное информационное обеспечение руководства организации, без которого невозможно принятие правильных решений в отношении выявления, анализа, мониторинга источников компонентов банковских рисков и управления ими. Поэтому, учитывая ролевую функцию службы ВК в процессе ППР, логично рассматривать эту службу как некий информационно-аналитический центр, оснащенный «датчиками», расположенными в других подразделениях кредитной организации, имеющих отношение к осуществлению и обеспечению ДБО. При этом структура СВК может быть условно представлена схемой на рис. 5.7.
Здесь СВК интерпретирована как служба ВК с элементами ВК, внедренными в функциональные процессы других структурных подразделений кредитной организации.
Все перечисленные во втором принципе меры должны быть документированы, и важность этого подчеркивается в Рекомендациях, равно как и значимость доведения политики кредитной организации и описаний организованных в ней процессов и процедур до ее персонала, что важно для иерархии полномочий и подотчетности. При этом обращается внимание на то, что «…распределение обязанностей и ответственности должно быть таким, чтобы гарантировалась непрерывность подотчетности и чтобы эффективный управленческий контроль распространялся на все уровни банка и виды его деятельности». Надо заметить, что для охвата всего ИКБД документарное обеспечение должно быть весьма развитым, для высшего руководства это означает также и развитый внутрибанковский механизм, с помощью которого будет осуществляться управленческое наблюдение — решение о его создании требует коллегиального принятия и реализации.