5.5. Адаптация внутреннего контроля
5.5. Адаптация внутреннего контроля
Такой вид деятельности, как внутренний контроль, исторически складывался в качестве механизма выявления и предотвращения случаев мошенничества или хищений, а также ошибок. Однако к настоящему времени сфера его применения существенно расширилась, охватывая разнообразные риски, связанные с банковской деятельностью кредитных организаций, а все перечисленное выше постепенно становится прерогативой формирующегося процесса ФМ (пока еще считающегося специализированной процедурой — компонентом процесса ВК). Изменение характера банковской деятельности, выражающееся в интенсивном использовании ДБО, разных вариантов ИКБД и обширных зональных сетей банкоматов и платежных терминалов, неизбежно приводит к необходимости включения в состав процесса ВК новых процедур, предназначенных для учета в процессе УБР возникновения новых угроз надежности банковской деятельности. Тем не менее многие отечественные кредитные организации, стремящиеся расширять спектр услуг ДБО, не успевают адаптировать к ним свой ВК ни как работу специальной службы, ни как функционирование СВК, что препятствует эффективному парированию таких угроз и поддержанию контроля со стороны руководства кредитной организации над смещениями ее профиля риска.
Во многих материалах зарубежных органов банковского регулирования и надзора отмечается, что новации в сфере ИТ, трансграничная банковская деятельность и глобализация финансовых рынков способствуют существенному повышению вероятности реализации системных рисков, т. е. проявлению их на уровне банковского сектора. Особенно озабоченность качеством ВК в различных организациях характерна для США, где для обеспечения адекватности контрольных функций такого рода были даже приняты специальные федеральные законы, известные по фамилиям их создателей как акты Грэма-Лич-Блайли и Сарбанеса-Оксли[155]. В первом из них акцент сделан на контроле обеспечения конфиденциальности и целостности клиентской информации, во втором — на корпоративной ответственности, контроле достоверности финансовой информации и аудите систем ВК. В обоих законодательных актах серьезное внимание обращалось на адекватность и эффективность систем и средств ВК в части применения ИТ и корпоративных систем управления рисками.
В этих актах нашло отражение осознание значимости ИТ для современных учреждений разного рода и того, что сами эти технологии формируют условия и для внедрения новых способов управления рисками, и для ВК, отвечающего за мониторинг процедур выявления, анализа банковских рисков и управления ими. Технологии ВК вместе с реализующими ее методами и средствами устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, что означает потребность в их модернизации. Вследствие этого процесс ВК, акцентированный на применении ИТ, становится неотъемлемой частью всей инфраструктуры кредитной организации (при этом считается, кстати, что расходы на его обеспечение целесообразно определять исходя из возможностей парирования финансовых потерь, обусловленных реализацией банковских рисков, особенно это справедливо в усложнившихся условиях использования ДБО). Важно подчеркнуть, что ролевые функции в составе процесса ВК, во-первых, стали распределяться между подразделениями современных кредитных организаций, во-вторых, существенно усложнились ввиду перемещения процедур бухгалтерского учета и подготовки банковской отчетности в виртуальное пространство, значительного расширения тематику ОИБ с возникновением ранее отсутствовавших проблем, ростом значимости адекватного решения вопросов ФМ и т. д.
Однако даже это принципиальное усложнение состава задач службы ВК их состав не исчерпывает. Дело в том, что в современных технологиях ДБО велика роль провайдеров кредитных организаций, от которых, как уже отмечалось, во многом зависит надежность банковской деятельности — в восприятии удаленных клиентов; да и для самих этих организаций надежность провайдеров с точки зрения обеспечения гарантий уровня обслуживания часто бывает критично важной. В то же время вопросы контроля надежности провайдеров, определения требований к взаимоотношениям кредитных организаций с провайдерами, управления этими отношениями со стороны первых, оценки уровня обслуживания и ряд других остаются неурегулированными в законодательном плане[156]. Необходимо осознание руководством кредитной организации того, что внедрение технологий электронного банкинга радикально изменяет (расширяет) содержание внутреннего контроля, так что если он не подвергнется модернизации, то кредитные организации вряд ли смогут аргументированно доказать его адекватность изменившимся условиям осуществления ВК.
Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве[157].
В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.
Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:
выполнение банковских операций и сделок;
подготовка регламентной банковской отчетности;
оценка соответствия установленным требованиям.
Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLA с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.
Таким образом, для адаптации процесса ВК, как неотъемлемой составляющей банковской деятельности, целесообразно известное переосмысление, в отношении конкретных процедур, составляющих этот процесс и определяемых требованиями оптимизации ППР в части УБР электронного банкинга. Тем более что ни БКБН, ни другие зарубежные органы банковского регулирования и надзора не предлагают новых материалов, которые устанавливали бы прямые связи между особенностями ВК при использовании современных банковских информационных технологий. В анализировавшемся выше материале БКБН[158], посвященном принципам управления рисками при электронном банкинге, упоминалось, что для обеспечения эффективного ВК над ТЭБ нужен постоянный адекватный контроль со стороны руководства кредитной организации и что один из важнейших принципов ВК — это разделение обязанностей. Во введении к не рассматриваемому здесь и более раннему, а потому уже не во всем актуальному руководству по этой же теме было сказано, что «…эффективные средства внутреннего контроля являются критичным компонентом банковского менеджмента и основой безопасного и надежного функционирования банковских организаций». При этом, впрочем, не было определено понятие эффективности и не обосновывалась значимость ВК как такового для безопасной и надежной банковской деятельности кредитных организаций. Несмотря на важность перечисленных в упомянутой работе положений, их все-таки недостаточно для имеющего прикладное значение анализа изменений в ВК, связанных с ТЭБ.
Тем не менее основания для методических разработок, адаптирующих ВК к переходу к ДБО, можно найти, если попытаться интерпретировать разработки зарубежных органов банковского регулирования и надзора в области ВК, в частности материалы БКБН, с позиций учета состава и влияния факторов возникновения дополнительных компонентов банковских рисков, ассоциируемых с ДБО, а также специфики возникновения и проявления источников этих компонентов. В последний раз БКБН в своих публикациях уделял внимание принципам организации и осуществления ВК в кредитных организациях в 1998 г.[159] С тех пор каких-либо новых рекомендаций по этой тематике в адрес кредитных организаций не поступало, несмотря на то что за прошедшие годы в банковской сфере произошли значительные изменения, особенно в части сервисных технологий банковской деятельности, основывающихся на разнообразном АПО ДБО. Как бы то ни было, упомянутый материал, обрисовывающий общую схему ВК в кредитной организации, вполне пригоден для интерпретации в отношении электронного банкинга.
Рассматриваемая работа (далее — Рекомендации) была ориентирована, как заявлялось, на «совершенствование банковского надзора с помощью рекомендаций, способствующих надежному управлению рисками». В ней была определена общая схема оценивания органом банковского надзора СВК кредитной организации, а фактически — модель СВК, признаваемая этим органом, которая базировалась на 13 принципах, предназначенных для использования как при совершенствовании банковского надзора, так и при оценивании системы ВК кредитной организации. Как было сказано во введении к этому материалу, «эти принципы имеют общий характер, и органам надзора следует использовать их при оценке своих собственных методов и процедур надзора для мониторинга организации банками своих систем внутреннего контроля». Одновременно однозначно указывалось на то, что «данные принципы предоставят полезную схему для эффективного надзора за системами внутреннего контроля». Таким образом, очевидно, что назначение принципов изначально полагалось двояким.
Постулировалось также, что в этом материале «описаны безусловно необходимые компоненты надежной системы внутреннего контроля», хотя в явной форме эти компоненты не предлагались банкам как обязательные для реализации. Следует, кстати, отметить, что однозначных предложений такого рода в документах БКБН вообще не встречается, и разговор обычно ведется с позиций пруденциальной организации внутрибанковских процессов, систем и процедур, реализуемых такими системами, и так называемой «лучшей практики» (без ее определения, естественно). Учитывая «надзорный» характер работы службы ВК в кредитной организации, легко прийти к заключению о пригодности рассматриваемых рекомендаций и их интерпретации для определения содержания процесса ВК в высокотехнологичной кредитной организации.
Можно заметить, что БКБН изначально строит свои Рекомендации так, как будто организация и содержание деятельности СВК в кредитных организациях совершенно не зависят от того, какие именно банковские информационные технологии ими применяются. С этим вполне можно было бы согласиться, но только в случае рассмотрения проблематики ВК с самых общих позиций. В то же время, находясь на таких позициях, в условиях ДБО невозможно определить не только четкие требования к внутрибанковским процессам и процедурам, так или иначе связанным с ВК, но даже пути и подходы к их организации, не говоря уже о такой «конкретике», как, например, квалификационные требования к персоналу СВК, его профессиональной подготовке и к сопровождению ДБО. В рассматриваемом материале прямо сказано, что «данное руководство не акцентируется на специфических областях или деятельности банковской организации», поскольку конкретная реализация ВК «зависит от характера, сложности и рисков, связанных с деятельностью определенного банка». В то же время в основаниях для излагаемого БКБН подхода отмечается, что «…системы контроля, хорошо работающие в случаях предоставления традиционных или простых услуг, могут оказаться непригодными при предоставлении более сложных или комплексных услуг». Тем не менее содержание ВК концентрируется именно на деятельности кредитной организации (а не только на выполняемых ею операциях) и служит управлению ею (хотя и опосредованно, но явно — в плане ИСУ и ППР), а поэтому возникает закономерный вопрос: как все-таки учитывать в его проведении характер, сложность и риски, связанные с электронным банкингом?
Ниже проводится рассмотрение предлагаемых БКБН принципов, описывающих организацию ВК, которые каждая кредитная организация может использовать для формирования собственной действенной методики осуществления ВК (изложив ее во внутренних документах, представляемых службе банковского надзора) и дополнения ее такой методикой выявления, оценки, анализа, мониторинга банковских рисков и управления ими, которая будет максимально учитывать особенности построения банковских автоматизированных систем, архитектур их вычислительных сетей, систем электронного банкинга и АЛО, на котором эти системы базируются. Сказанное относится и к реинжинирингу СВК кредитной организации в целом в связи с внедрением ТЭБ, что определяется решениями ее высшего руководства в соответствии с внутрибанковским мета-процессом, связанным с переходом к ДБО.
Принцип 1. Совет директоров должен нести ответственность за утверждение и периодическую проверку общей бизнес-стратегии и наиболее важных политических решений для банка, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков и гарантирование того, что высшее руководство принимает необходимые меры для идентификации, измерения, мониторинга и контроля этих рисков, утверждение организационной структуры, а также обеспечение мониторинга со стороны высшего руководства эффективности системы внутреннего контроля. Совет директоров является в конечном счете ответственным за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля.
Анализируя содержание этого принципа, можно предположить, что система ВК может считаться эффективной, если в результате ее работы агрегированный риск, принимаемый кредитной организацией, окажется равным так называемому «чистому риску», который определялся ранее. Отсюда следует вывод, что в руководящие органы этой организации должны входить специалисты, разбирающиеся и в банковских рисках, и в их источниках, и в измерении рисков, и в мероприятиях по воздействию на источники рисков с целью исключения или снижения их влияния на результаты принятия решений (в рамках ПСУ). В органах банковского регулирования и надзора США считается, что такие руководители в административной иерархии кредитной организации соответствуют по уровню вице-президенту и менеджеру отдельного бизнес-направления (который определяется как «Chief Executive Officer»[160]).
В комментариях к этому принципу отмечается, что «совету директоров банка рекомендуется включить в свою деятельность в части ВК:
1) регулярное обсуждение с руководством эффективности системы ВК;
2) своевременные запросы оценок средств ВК со стороны руководства, внутренних и внешних аудиторов;
3) периодический контроль выполнения руководством рекомендаций аудиторов и надзорных органов по устранению недостатков В К;
4) периодическую проверку следования стратегии банка и ограничению уровней банковских рисков»
Здесь же упоминается возможность формирования в помощь совету директоров кредитной организации дополнительного контрольного органа — «аудиторского комитета», который «должен состоять из независимых директоров, имеющих представление о финансовой отчетности и средствах ВК». В обязанности этого комитета входят контроль финансовой отчетности и наблюдение за функционированием СВК. По-видимому, в дальнейшем (в формулировке принципа 11) именно эта функция обозначается как «мониторинг внутреннего контроля». Однако одновременно говорится, что «аудиторский комитет, как правило, наблюдает за деятельностью департамента внутреннего аудита банка, непосредственно взаимодействует с ним, а также осуществляет основное взаимодействие с внешними аудиторами». Про СВК не сказано ничего, вследствие чего ситуация с множащимися контрольными органами представляется несколько запутанной.
Как бы то ни было, относительно электронных банковских технологий сказанное выше означает, что и в совете директоров кредитной организации, и в ее высшем руководстве (да, пожалуй, и в аудиторском комитете) крайне желательно присутствие таких специалистов, которые имеют представление о распределенных компьютерных системах в целом, о построении информационных контуров банковской деятельности и о тех угрозах безопасности, целостности операций и данных, как факторах риска, которые типичны для таких контуров (что позволяет провести параллели с материалом в Risk Management Principles for Electronic Banking). На практике такая компетентность проявляется по-разному: в принятии обоснованных стратегических решений относительно внедрения технологий ДБО как таковых и их отдельных вариантов (в общем случае, с исключением повышения уровней банковских рисков, рассматривавшихся в главе 2), проведения соответствующей маркетинговой компании, определения тарифных планов, содержания договоров с клиентами, контрагентами и другими провайдерами (с позиций удержания уровней типичных банковских рисков в допустимых пределах), реализации функций ОИБ, ВК и ФМ и т. п. При этом само понятие адекватности ВК предполагает, что все перечисленное будет относиться и ко всем видам банковских операций, выполняемых кредитной организацией, и к предоставляемым ею видам обслуживания клиентов, причем с помощью всех используемых средств автоматизации этого обслуживания (ИКБД). Наконец, предполагается, что конкретные представители высшего руководства кредитной организации способны предъявить требования как к составу и организации СВК, так и к составу используемого АПО, а также убедиться в том, что эти требования реально выполняются (сказанное относится к так называемому «мониторингу системы ВК», о чем идет речь в Положении 242-П).
Принцип 2. Высшее руководство должно нести ответственность за реализацию стратегии и политики, утвержденных советом директоров, разработку процессов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком, поддержание организационной структуры, обеспечивающей четкое распределение ответственности, полномочий и подотчетности, гарантирование эффективного выполнения делегированных полномочий, внедрения надлежащей политики внутреннего контроля, а также мониторинг адекватности и эффективности системы внутреннего контроля.
В комментариях к этому принципу постулируется, что высшее руководство кредитной организации несет ответственность за выполнение директив совета директоров, включая реализацию стратегии и политики, а также за организацию эффективной СВК. Вместе с тем указывается, что «члены высшего руководства обычно делегируют ответственность за внедрение специальной политики и процедур ВК, связанных со специфической деятельности тех или иных подразделений банка, на руководителей этих подразделений, при сохранении наблюдения над ними». Здесь заложено (и далее просматривается практически во всех остальных принципах) коренное отличие от подхода к организации ВК в отечественных кредитных организациях, а именно «распределение» функций ВК практически по всему персоналу кредитной организации вместо формирования в ней специализированного подразделения В К, подчиняющегося непосредственно высшему руководству и являющегося ядром СВК[161].
В то же время, поскольку применение ТЭБ затрагивает работу нескольких структурных подразделений кредитной организации, логично использовать аналогичное предложенному БКБН распределение функций ВК. Чтобы процесс ВК автоматизированной и распределенной через ИКБД банковской деятельности охватывал все внутрибанковские процессы, процедуры и функции, выполняемые кредитной организацией, наряду с внутренними и внешними взаимосвязями, служба ВК должна располагать возможностями, механизмами и средствами адекватного информационно-аналитического обеспечения своей деятельности. Следствием этого становится гарантированно полное и своевременное информационное обеспечение руководства организации, без которого невозможно принятие правильных решений в отношении выявления, анализа, мониторинга источников компонентов банковских рисков и управления ими. Поэтому, учитывая ролевую функцию службы ВК в процессе ППР, логично рассматривать эту службу как некий информационно-аналитический центр, оснащенный «датчиками», расположенными в других подразделениях кредитной организации, имеющих отношение к осуществлению и обеспечению ДБО. При этом структура СВК может быть условно представлена схемой на рис. 5.7.
Здесь СВК интерпретирована как служба ВК с элементами ВК, внедренными в функциональные процессы других структурных подразделений кредитной организации.
Все перечисленные во втором принципе меры должны быть документированы, и важность этого подчеркивается в Рекомендациях, равно как и значимость доведения политики кредитной организации и описаний организованных в ней процессов и процедур до ее персонала, что важно для иерархии полномочий и подотчетности. При этом обращается внимание на то, что «…распределение обязанностей и ответственности должно быть таким, чтобы гарантировалась непрерывность подотчетности и чтобы эффективный управленческий контроль распространялся на все уровни банка и виды его деятельности». Надо заметить, что для охвата всего ИКБД документарное обеспечение должно быть весьма развитым, для высшего руководства это означает также и развитый внутрибанковский механизм, с помощью которого будет осуществляться управленческое наблюдение — решение о его создании требует коллегиального принятия и реализации.
Принцип 3. Совет директоров и высшее руководство отвечают за поддержание высоких стандартов этики и честности, а также за внедрение такой культуры в организации, которая подчеркивала бы и демонстрировала бы важность внутреннего контроля для персонала всех ее уровней. Все сотрудники банковской организации должны понимать свою роль в процессе внутреннего контроля и быть полностью вовлечены в этот процесс.
В условиях электронного банкинга поддержание стандартов, о которых говорится в третьем принципе, становится непростой задачей, во-первых, из-за специфики информационного взаимодействия между кредитной организацией и ее клиентами через киберпространство, во-вторых, из-за возможности НСД, как говорят, к «чувствительной» клиентской информации, мошеннических действий, хищений финансовых средств и скрытого осуществления «сомнительных» финансовых операций. Поскольку проявление «человеческого фактора» предвидеть крайне трудно, руководству высокотехнологичной кредитной организации лучше не уповать на честность, а позаботиться о максимально широком соответствии банковской деятельности и условий использования каждой СЭБ принципу «четырех глаз». Не менее важна разработка полноценных программ ВК (особенно в части аудита ИТ), охватывающих все каналы ДБО, информационные сечения между автоматизированными системами, сетевые кабельные подключения и автоматизированные рабочие места персонала (прежде всего те, которые предназначены для выполнения функции администрирования информационно-процессинговых ресурсов организации).
Акцент на этом целесообразно сделать в положениях о СБ и о службе ВК, а также отразить соответствующий подход в «Положении о системе внутреннего контроля» кредитной организации, «Положении об управлении банковскими рисками» и «Политике обеспечения информационной безопасности». Надо подчеркнуть, что внедрение каждой новой ТЭБ и реализующей ее СЭБ, даже если такие системы однородны (как, например, системы интернет-банкинга для юридических и физических лиц), должно бы сопровождаться проявлениями мета-процесса в отношении упомянутых документов и процедур в составе соответствующих внутрибанковских процессов. Впрочем, сказанное здесь не исключает пропагандирование моральных и этических корпоративных ценностей, только в условиях применения ТЭБ его лучше строить таким образом, чтобы не натолкнуть кого-либо из ответственных исполнителей на мысль об использовании возможностей виртуального пространства в личных целях, отличающихся от корпоративных.
Принцип 4. Чтобы система внутреннего контроля была эффективной, требуется распознавать и постоянно оценивать материальные риски, которые могут негативно повлиять на достижение целей банка. Это оценивание должно охватывать все риски, с которыми сталкивается банк и консолидированная банковская организация (а именно, кредитный риск, страновой и трансферный риск, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и репутационный риск). Может потребоваться пересмотр средств внутреннего контроля в интересах правильного реагирования на новые или ранее неконтролируемые риски.
В комментариях к этому принципу говорится следующее: «Банки заняты бизнесом, связанным с принятием рисков. Поэтому принципиально важно, чтобы в рамках системы внутреннего контроля эти риски распознавались и оценивались на постоянной основе. С позиций внутреннего контроля при выявлении рисков должны идентифицироваться и оцениваться внутренние и внешние факторы, которые могут негативно повлиять на достижение функциональных, информационных и правовых целей банковской организации». В этом принципе намечено нечто более конкретное сравнительно с предыдущими — эффективность включает выявление, распознавание + непрерывное оценивание всех материальных рисков, без чего эффективность не может быть достигнута (приведенный состав банковских рисков отличен от предложенных в книге).
Указывается также, что «эффективное выявление рисков предполагает идентификацию и изучение внутренних факторов (таких как сложность организационной структуры, характер банковской деятельности, качественный состав персонала, организационные изменения и текучка кадров), равно как и внешних факторов (таких как вариации финансовых условий, изменения в данной сфере и технологические усовершенствования), которые способны негативно повлиять на достижение банком своих целей». При этом выявление риска следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе — в случае многофилиальных организаций (о чем дополнительно будет сказано в параграфе 5.6). Остальное содержание этого принципа, по существу, уже было прокомментировано в параграфе 5.2.
Принцип 5. Работа по осуществлению контроля должна входить в повседневную деятельность банка. Чтобы система внутреннего контроля была эффективной, требуется должная структура контроля с определением контрольных мероприятия для каждого уровня бизнеса. В их число следует включить проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.
Этим принципом введен еще один компонент, определяющий эффективность ВК, — должная структура контроля. Это означает, что с самого начала контрольная деятельность планируется и реализуется для снижения уровней рисков, которые банк идентифицирует. Такая деятельность осуществляется в два этапа: 1) разработка соответствующей «политики» и процедур контроля; 2) подтверждение того, что указанные политика и процедуры действуют. Контролем также предлагается охватывать все уровни персонала в кредитной организации: от высшего руководства до операционистов. В комментариях к этому принципу электронные банковские технологии не упоминаются, а значит, банковские специалисты, входящие в СВК, в случае внедрения конкретной ТЭБ должны руководствоваться своими представлениями, а высшему руководству ВК придется принимать решение относительно степени адекватности новых подходов к его осуществлению принципам БКБН. Можно представить также квалификационные требования к таким специалистам. В Рекомендациях приведены следующие примеры контрольной деятельности:
проверки высшего уровня — совет директоров и высшее руководство требуют отчеты о работе, позволяющие проверять, насколько текущая деятельность в банке соответствует поставленным целям. При этом имеет место интенсивное взаимодействие с менеджерами среднего звена, в ходе которого могут выявляться недостатки в контроле, ошибки в отчетности или мошенничества;
средства оперативного контроля — руководство департаментов или управлений получает и проверяет стандартизованные отчеты о текущей работе на ежедневной, еженедельной или ежемесячной основе в зависимости от особенностей бизнес-направлений. Собственно контроль реализуется при взаимодействии руководства с отчитывающимся персоналом по схеме «вопрос — ответ»;
средства физического контроля — они обычно ориентированы на ограничение доступа к активам, включая наличные и ценные бумаги. В собственно деятельность включены физические ограничения, двойная защита и периодическая инвентаризация;
соблюдение установленных ограничений — имеется в виду подверженность риску, например, установление лимитов для заемщиков (в плане кредитного риска) и диверсификация профиля риска[162];
утверждение и авторизация — в отношении конкретных транзакций, особенно выходящих за установленные пределы, трактуется как информирование руководства соответствующего уровня, утверждающего эти действия, о том, что такие случаи имеют место.
Эти и другие, менее существенные действия ставят перед ВК серьезные задачи. К примеру, необходимо убедиться в том, что формируемые из виртуального пространства БАС финансовые и другие отчеты (неважно, с какой периодичностью) содержат достоверную информацию. В СВК в этом случае необходимо включать внедренные в СЭБ и БАС средства подтверждения целостности записей в компьютерных базах данных, файлах системных и аудиторских журналов и пр. и собственные средства проверки при необходимости выполнения правил учета, обработки, хранения ордеров клиентов. Если же какой-либо клиент осуществляет крупные и (или) сомнительные операции, подпадающие под юрисдикцию службы ФМ (о чем, кстати, в Рекомендациях ничего не сказано, хотя ПОД/ФТ охватило весь мир), то, в общем случае, необходимы средства автоматизированного программного контроля в БАС, а следовательно, их надо проектировать, разрабатывать, проверять, равно как определять возможности контроля их функционирования, предусмотрев в АС соответствующие «контрольные точки» и индикаторы, сообщающие о подозрительных операциях, и многое другое.
В добавление к сказанному отмечается, что «…руководство банка обязано регулярно убеждаться в том, что работа на всех участках банка ведется в соответствии с установленными политикой и процедурами, а те в свою очередь остаются адекватными. В этом обычно заключается главная роль функции внутреннего аудита». Учитывая комментарии к первому принципу, нетрудно представить требуемый уровень компетентности руководства кредитной организации и службы ВК, равно как и ее специалистов, а также требования к их технологическому и техническому оснащению, программам и методикам проведения проверок и т. п.
Принцип 6. Чтобы система внутреннего контроля была эффективной, требуется надлежащее разделение обязанностей. На персонал не должны возлагаться конфликтующие обязанности. Области потенциальных конфликтов интересов следует идентифицировать, минимизировать и обеспечить их тщательный независимый мониторинг.
Этим принципом определяется еще один компонент эффективности ВК — надлежащее разделение обязанностей, которое предназначено прежде всего для снижения вероятности финансовых потерь. Смысл его в том, чтобы лица, осуществляющие управление финансовыми средствами, не могли тайно воспользоваться ими в личных целях, а лица, ответственные за операции, следствием которых могут быть финансовые потери, не имели возможности их скрыть. Этот принцип подтверждает целесообразность активного участия службы ВК (и СБ) в ЖЦ внедряемой СЭБ с самого начала, чтобы предусмотреть правильное разделение прав и полномочий доступа к внутрибанковским компьютерным системам, операционному программному обеспечению, файлам банковских данных и регламентных отчетов, а также наличие физических и логических (программных) средств ограничений возможностей пользователей БАС и СЭБ вместе с порядками их внедрения, сопровождения, изменения и т. п. Тем самым будет оказано содействие требуемому разделению обязанностей с «контрольного» уровня, учитывая, что в части идентификации и минимизации таких проблемных областей конкретных предложений в Рекомендациях нет, а мониторинг их должен осуществляться «независимой третьей стороной».
Кроме того, в комментарии к этому принципу сказано, что «.. должны осуществляться периодические проверки обязанностей и функций основных исполнителей, чтобы у них не было возможностей скрыть непредусмотренные действия». Фактически такие процедуры реализуются действиями администраторов автоматизированных систем и информационной безопасности, поэтому к ним, к их должностным обязанностям (равно как и к их исполнению) руководству кредитной организации целесообразно привлекать внимание службы ВК, не забывая о значимости следования принципу «четырех глаз». Последнее необходимо документировать в положениях о «заинтересованных» структурных подразделениях кредитной организации и должностных инструкциях ответственных исполнителей, о чем также логично позаботиться исполнительным органам, которые руководствуются содержанием упоминавшегося внутрибанковского мета-процесса.
Принцип 7. Чтобы система внутреннего контроля была эффективной, требуется адекватная и полная внутренняя финансовая, операционная и правовая информация, равно как и внешняя рыночная информация о событиях и условиях, которые следует учитывать при принятии решений. Информация должна быть надежной, своевременной, доступной и предоставленной в требуемом формате.
В комментариях к этому принципу, кроме повторения его содержания, говорится только о том, что должны иметься процедуры для поддержания и сохранения записей (какие и каких — не уточняется). Исходя из изложенного в главах 3 и 4, руководству и специалистам ВК целесообразно вместе с сотрудниками подразделений ИТ и СБ определить внутрисистемные информационные сечения и контрольные точки, в которых они смогут считывать требуемую им контрольную информацию (помимо упоминавшихся типовых процедур организационного и документарного характера). Состав соответствующих финансовых, операционных, клиентских и служебных (и сеансовых — в случае ДБО) данных предпочтительно зафиксировать документально и, скорее всего, оформить как сведения ограниченного распространения. Необходимо помнить, что методы и содержание проверок не должны быть общедоступными, чтобы знания о них не были использованы в попытках осуществления противоправных действий или сокрытия совершенных ошибок, для чего любая ТЭБ и виртуальное пространство БАС зачастую предоставляют разнообразные возможности.
Принцип 8. Чтобы система внутреннего контроля была эффективной, требуются надежные информационные системы, охватывающие все важные направления деятельности банка. Эти системы, включая те, в которых данные хранятся и используются в электронной форме, должны быть защищены, независимо контролируемы и поддержаны адекватными мерами на случай непредвиденных обстоятельств.
Критическим компонентом обеспечения надежности банковской деятельности является организация и сопровождение ИСУ, которая охватывает все процессы в кредитной организации. В Рекомендациях отмечается, что «банки должны уделять особое внимание… требованиям внутреннего контроля, относящимся к обработке информации в электронной форме и наличию адекватных аудиторских записей. От плохо спроектированных и недостаточно контролируемых систем может поступать ненадежная и вводящая в заблуждение информация, что способно негативно повлиять на принятие решений руководством». Там же говорится о необходимости принимать меры для обеспечения бесперебойной работы информационных систем, чтобы избежать прерывания операций и возможных потерь. Поскольку в настоящее время банковские компьютерные системы стали распределенными, особенно за счет вовлечения в обработку транзакций и данных организаций-провайдеров, число факторов риска увеличилось, и соответственно могут значительно возрасти уровни банковских рисков, связанных как с автоматизированными системами, так и с ИКБД в целом. Поэтому пропорциональное расширение сферы ответственности ВК неизбежно, поскольку, несмотря на решения части задач подразделением ИТ и СБ, первое из них, как правило, уделяет больше внимания БАС и СЭБ, а второе — вопросам инкассации и физической безопасности кредитной организации. При этом критично важным становится ведение системных логов и аудиторских трейлов, в файлах которых фиксируются операции пользователей БАС и СЭБ. Но даже при полном охвате этими службами всех функциональных участков электронного банкинга необходим внешний по отношению к их деятельности контроль, который является прерогативой ВК.
В Рекомендациях поясняется, что средства контроля над информационными системами и технологиями должны включать как общие, так и прикладные средства. Под общими средствами контроля понимаются те, которые относятся к компьютерным системам (например, мэйнфреймам и серверам, взаимодействию клиент — сервер, сетевым экранам, рабочим станциям и т. п.) и обеспечивают их непрерывное правильное функционирование. Общие средства контроля включают внутрибанковские процедуры мониторинга и восстановления функционирования, политику информатизации (разработки и приобретения программного обеспечения), процедуры сопровождения (контроля изменений), также средства контроля физического/логического доступа к БАС, СЭБ, ЛВС, ЗВС и пр. Прикладные средства (в соответствии с Положением 242-П) имеют вид «встроенных в служебное программное обеспечение или выполняемых вручную процедур, которые контролируют обработку транзакций и деловые операции. В прикладные средства контроля входят, например, проверка ввода и специфическое управление логическим доступом, уникальное для той или иной системы». При отсутствии адекватных средств контроля над информационными системами и технологиями, включая разрабатываемые системы, банки подвергаются опасности потери данных и программ из-за недостаточности мер физической и логической защиты, отказов оборудования или систем, а также неполноты собственных процедур резервирования и восстановления функционирования. В Рекомендациях отмечается, что «планирование на случай форс-мажорных обстоятельств следует осуществлять по всему банку, с привлечением руководителей направлений бизнеса, не ограничиваясь только централизованными операциями». Что касается самих планов, то их следует периодически оценивать на «функциональность», исходя из возможных внезапных катастрофических событий.
Принцип 9. Чтобы система внутреннего контроля была эффективной, требуются эффективные каналы взаимодействия, обеспечивающие полное понимание и приверженность персонала политике и процедурам, определяющим их обязанности и ответственность, а также доведение информации, имеющей к ним отношение, до соответствующего персонала.
Комментарий этого принципа начинается с постулата «информация бесполезна, если отсутствуют средства ее эффективного доведения». В обязанности руководства вменяется применение таких способов коммуникаций, которые гарантировали бы получение требуемой информации теми, для кого она предназначена. Это утверждение относится к информации как о принятых политике и процедурах кредитной организации, так и о ее реальном функционировании и прямо зависит от организационной структуры, которая должна обеспечивать должное прохождение информационных потоков в соответствующей иерархии «сверху — вниз, снизу — вверх и по горизонтали». Главное — «совет директоров и высшее руководство должны быть в курсе работы банка и деловых рисков и уверены в том, что необходимая информация доводится до руководителей нижнего звена и операционного персонала».
Принцип 10. Следует осуществлять на постоянной основе мониторинг эффективности средств внутреннего контроля банка. Мониторинг основных рисков должен быть составной частью повседневной деятельности в банке, так же как периодическое оценивание направлений бизнеса и внутренний аудит.
Этот и все оставшиеся принципы не имеют непосредственного отношения к ВК и связаны с деятельностью «вокруг» него. Они ориентированы, по-видимому, преимущественно на содержание контрольных функций в отношении кредитной организации (в части ВК), реализуемых органом банковского надзора.
Считается, что, поскольку банковское дело является динамичным и быстро развивающимся, «банкам необходимо осуществлять постоянный мониторинг и оценивание своих систем внутреннего контроля с точки зрения изменений во внутренних и внешних условиях и совершенствовать эти системы в целях поддержания их эффективности». При этом руководство кредитной организации должно четко определить, кто за такой мониторинг отвечает, — это может быть, например, служба внутреннего аудита, а осуществляться он должен на повседневной основе исходя из «состава наблюдаемых рисков, частоты и характера изменений в операционной среде». В части внедрения и развития ТЭБ, безусловно, целесообразно вовлечение службы ВК в эти процедуры, поскольку невозможно контролировать применение новых технологий без ознакомления с ними. Это тем более важно, что современные аппаратно-программные комплексы развиваются столь быстро, что не всегда компании-разработчики успевают полно и качественно провести даже альфа-тестирование, не говоря уже о бета-тестировании. Не менее важно участие ВК в процедурах «стыковки» каждой новой АС с уже действующими, так как это всегда связано с проблемами обеспечения совместимости АПО разных версий и степеней сложности или разных операционных систем. Даже если специалисты ВК не обладают всей полнотой технических знаний (а их профессиональная переподготовка должна быть регулярной — в соответствии с мета-процессом), все равно им следует требовать от специалистов технического плана подтверждения достаточности встроенных или дополнительных (внешних) средств контроля функционирования вновь внедряемой АС и проведения полноценных ПСИ.
Данный текст является ознакомительным фрагментом.