3.1. Процессный подход — базовые положения
3.1. Процессный подход — базовые положения
Акцент на внутрибанковских процессах и на условиях, в которых они реализуются, не случаен: изучение использования кредитными организациями систем электронного банкинга свидетельствует, что результаты и эффективность применения новых, зачастую достаточно сложных технологий ДБО, которые базируются на распределенных компьютерных системах, сети Интернет, мобильных компьютеризованных устройствах, телекоммуникационных сетях и т. п., непосредственно зависят от условий, в которых технологии такого рода применяются. То же самое относится к парированию влияния источников банковских рисков, непосредственно связанных с такими способами обслуживания клиентов. Важно отметить также то, что при этом далеко не все руководители кредитных организаций осознают возможное влияние технологий ДБО на выполнение утверждаемых ими стратегических планов и поддерживаемые в этих организациях бизнес-модели, ибо новые технологии электронного банкинга способны существенно изменить условия их реализации, повышая уровни типичных банковских рисков. Поэтому при внедрении конкретного варианта ДБО целесообразно изначально определить его специфику именно из этих соображений, причем не просто как очередной новой технологии, реализуемой через компьютерные и телекоммуникационные системы нового поколения, но и переводящей банковскую деятельность в «виртуальное пространство» практически без каких бы то ни было ограничений. На этом целесообразно сделать акцент и при пересмотре подходов к модернизации процесса УБР, его описания и содержания, а также к распределению обязанностей и ответственности за его реализацию между исполнительными органами и рядом структурных подразделений кредитной организации, перечисляемых в параграфе 3.2.
Само отсутствие подобного учета может обусловить реализацию банковских рисков — вероятностных по сути событий — и обращение их в реальные финансовые потери, причем именно из-за неосознаваемого повышения этой вероятности (если в кредитной организации относятся к своим компьютерным технологиям без должного внимания). Поэтому руководству кредитной организации логично было бы при принятии решения о переходе к ДБО задумываться не только о ТЭО любого из возможных его вариантов (что само по себе в отечественном банковском секторе встречается нечасто), но и о ресурсной базе процесса УБР с точки зрения оценки ее достаточности. Не исключено, что ее негативная оценка окажется весомым аргументом в пользу либо отказа от такого решения, либо реализации его только после накопления достаточных ресурсов в части административных и организационно-технических решений, персонала подразделений кредитной организации, его совокупной квалификации и т. п. Впрочем, последние годы функционирования российского банковского сектора отмечены тенденцией как к повышению качества корпоративного управления в кредитных организациях, так и к поиску путей его дальнейшего совершенствования, что (как показывает и зарубежная практика) при использовании процессного подхода существенно облегчается.
В последнее время считается, что практически всю «организованную» деятельность людей, включая банковскую, можно представить в виде совокупности бизнес-процессов. По определению, бизнес-процесс[64] — это устойчивая, целенаправленная совокупность взаимосвязанных видов деятельности (последовательность работ), которая по определенной технологии преобразует некие входные ресурсы в выходные, представляющие ценность для потребителя. Тогда управление практически любой организацией, имеющей конкретные цели своей деятельности, стратегические планы их достижения и определенные функции, выполняемые для реализации таких планов, может быть представлено как управление бизнес-процессами (точнее, их совокупностями, поскольку без взаимосвязей между основными процессами в любой сколько-нибудь сложной работе не обойтись). Для этого необходимо в первую очередь составить функциональное описание деятельности той или иной кредитной организации в целом, затем определить функциональные процессы, составляющие эту деятельность, и, далее, следуя иерархическому принципу, определить базовые процедуры, составляющие процессы, и подмножества операций, из которых складываются эти процедуры. В ряде относительно простых случаев процессное описание можно даже не доводить до операций, хотя к банковской деятельности это, конечно, не относится.
В рамках процессного подхода требования предъявляются не столько к качеству банковских продуктов напрямую, сколько к системе организации управления банковским бизнесом (по аналогии с международными стандартами серии ISO 9000). Такой подход можно считать следствием, с одной стороны, назревшей необходимости совершенствования корпоративного управления (особенно в многофилиальных структурах), а с другой стороны, отражением современных мировых тенденций в банковской сфере. В наиболее общем случае считается, что успех любой организации (учреждения, фирмы) в значительной степени прямо связан с ее структурой и конкретными компонентами организационной структуры — это классика. Естественно, вся деятельность начинается с установленных стратегических целей и некоей стратегии их достижения, реализуемой совокупностью деловых процессов. Вот это то, что традиционно уходило на второй план, хотя, впрочем, было оправдано своего рода «примитивностью» бизнеса и условий его осуществления. Теперь полагают также, что в оптимальном варианте осуществления сколько-нибудь сложной деловой активности структура организации должна определяться этими самыми процессами, которые можно описать с помощью так называемых «сбалансированных технологических карт». Эти карты создаются работой системы управления организации, которая сама формируется в соответствии с множеством правил реализации стратегии организации. А они в свою очередь находят свое непосредственное отражение как раз в тех самых бизнес-процессах. Оптимизация состава, содержания и «точек соприкосновения» (взаимного влияния) процессов составляет основу для роста эффективности деятельности того или иного учреждения в целом.
В рамках процессного подхода речь идет в основном о требуемом качестве продукта (услуги), которое трактуется как совокупность свойств, обусловливающих способность удовлетворять определенные потребности клиента в соответствии с его (ее) назначением, и определяется, вообще говоря, клиентом (потребителем результата процесса). В приложении к настоящему рассмотрению эти потребности выражаются теми пятью характеристиками надежности банковской деятельности, о которых было сказано в предыдущей главе. При управлении кредитной организацией, основанном на процессном подходе, наиболее эффективным образом реализуются концепции управления по целям (результатам) и клиент-ориентированного бизнеса, что позволяет рассматривать его как эффективное средство решения стратегических задач, стоящих перед конкретным банком и банковской системой в целом, особенно если оно осуществляется в том числе с позиций минимизации рисков, которым подвергаются клиенты организации.
Главное преимущество процессного подхода по сравнению с традиционным (функциональным) подходом заключается в непрерывности управления, которое обеспечивается им на стыке отдельных процессов в рамках системы, а также при их комбинации и взаимодействии. Последнее актуально как раз в отношении применения технологий электронного банкинга, которые могут использоваться как по централизованной схеме, так и по распределенной. Следует отметить, что последнее положение особенно важно для многофилиальных кредитных организаций, деятельность которых вместе с внедрением новых банковских информационных технологий может оказаться связана с возникновением дополнительных и не всегда просто контролируемых источников компонентов банковских рисков.
Сказанное заставляет задуматься о существе процессов, посредством которых реализуется значительная (и все более возрастающая) часть банковской деятельности. Лозунгом процессного подхода стала фраза: «Хочешь управлять бизнесом — управляй процессами!», и здесь уместно добавить: а для этого «знай все необходимые бизнесу процессы и их содержание», т. е. банковские технологии и реализующие их автоматизированные системы. Фактически полнота, адекватность и качество бизнес-процессов в кредитной организации начинают определяться соответствием их новому, упоминавшемуся выше принципу: «знай свои технологии», поскольку большинство внутрибанковских процессов реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами.
По-видимому, внесение изменений в используемые кредитной организацией технологии банковского обслуживания или предоставления банковских услуг требует радикальных инноваций сначала в «осознании» сути происходящего, а затем в содержании и организации внутрибанковских процессов. Безусловно, определяющим фактором при этом должно являться сохранение управляемости и контролируемости банковской деятельности, невзирая на ее переход в виртуальное пространство. Вопрос лишь в том, какие именно управленческие процессы необходимо разработать, внедрить, сопровождать и контролировать в таких условиях. При этом оказывается необходима разработка совершенно новых процессов, которых ранее, т. е. до изменения условий банковской деятельности, просто не существовало. Одним из примеров может служить потребность в организации такого внутрибанковского процесса при внедрении технологии интернет-банкинга: чтобы создавать и сопровождать web-сайты, используемые кредитной организацией в качестве информационных, коммуникационных или операционных представительств в Сети, а также контролировать их функционирование, уже требуется организация «взаимодействия» между целой совокупностью внутрибанковских процессов. Причем их состав и содержание взаимодействия различны при размещении web-сайта в самой организации, на аппаратно-программном комплексе его разработчика, у интернет-провайдера и т. п.
Соответственно полнота и точность описаний внутрибанковских процессов (официально документированных, чем, к сожалению, нередко пренебрегают) в связи с бизнес — процессами являются теми принципиально важными факторами, которые прямо влияют на результаты деятельности кредитной организации. При этом речь должна идти не только об ее основных, «находящихся на слуху», бизнес-процессах, но и о вспомогательных, обеспечивающих необходимые условия для эффективной банковской деятельности. Излишне говорить о том, что в условиях всеобщей компьютеризации банковской деятельности велика опасность образования разрывов в общих процессах управления и контроля в одной и той же кредитной организации, использующей разнообразные варианты ДБО (тем более вместе с филиалами), каждому из которых сопутствуют те или иные специфические подмножества источников компонентов банковских рисков, связанные с новыми их факторами.
Процессный подход может использоваться руководством (исполнительными органами) кредитной организации для осуществления как стратегического, так и оперативного управления. Одним из его достоинств является возможность интеграции в единой административно-организационной схеме интересов клиентов кредитной организации, ее самой, а также связей между ними и теми внутрибанковскими процессами, наличие которых представляется целесообразным в современных условиях банковской деятельности. За счет применения процессного подхода могут заметно увеличиваться экономические выгоды от применения технологий ДБО, что одновременно способствует оптимизации содержания и организации внутрибанковских бизнес-процессов в интересах снижения рисков, сопутствующих современной высокотехнологичной банковской деятельности. Такой подход к управлению кредитной организацией заключается прежде всего в систематической (определяемой этапностью внедрения новых информационных технологий) идентификации взаимосвязанных процессов и в согласованном управлении ими. Поэтому и требуется наряду с принятием решений о внедрении новых продуктов или услуг (видов обслуживания) определять, какие именно компоненты «общебанковских» процессов управления и контроля необходимо модернизировать либо разработать и внедрить, а также сопровождать и контролировать их реализацию уже в новых условиях банковской деятельности.
Здесь уместно отметить также существенные особенности в информационном обеспечении или поддержке принятия решений (ППР) относительно внедрения и применения технологий ДБО, т. е. дистанционного финансового посредничества. Представители высшего руководства кредитных организаций могут иметь достаточно отдаленное представление о том, как конкретно технически реализуется технология электронного банкинга в каждом из его вариантов, что представляет из себя ИКБД (тем более если он ни в каких внутрибанковских документах не описан, а решение о внедрении ТЭБ было принято по просмотру небольшой компьютерной презентации самого общего плана) и как реализующие его процедуры могут сказаться на эффективности и результатах банковской деятельности в целом, так как речь идет о весьма специфической области знаний. Дефицит информационного обеспечения управления кредитной организацией по этим двум вопросам может оказаться критическим с точки зрения ППР и принятия именно эффективных решений. Возможный вариант трактовки адаптации содержания внутрибанковских процессов к внедрению новой технологии ДБО приведен на рис 3.1.
Считается, что процессный подход не может быть эффективно использован, если вместе с описанием процессов не разработана некая шкала оценок, позволяющая определить, насколько адекватны внутрибанковские процессы деловым потребностям кредитной организации. Имеется в виду, что при внедрении процессного подхода необходима уверенность в результатах, которую может обеспечить только полноценный (адекватный) контроль над самим внедрением. Он же в свою очередь подразумевает периодическое сопоставление текущих результатов с предполагаемыми конечными (установленными стратегией, принятой для конкретной кредитной организации). Поэтому, как и во многих других подходах к внедрению решений системного характера, руководству кредитной организации также целесообразно установить такие критерии, которые позволили бы ему обоснованно судить как минимум:
о возможности описания функционирования кредитной организации в целом с помощью выделения внутрибанковских процессов;
степени «организованности» или, иначе, развития (совершенства) собственно внутрибанковских процессов;
содержании процессов в виде совокупностей (последовательностей) упорядоченных процедур (функций).
Поскольку процессный подход изначально предполагался для повсеместного использования без привязки к какой-либо конкретной предметной области человеческой деятельности (особенно допускающей ее автоматизацию), абстрагирование от вида этой деятельности оказалось необходимым условием. В то же время в силу этого возникли, как следствие, во-первых, методологическая обобщенность и, во-вторых, потребность в интерпретации для каждого вида деятельности как такового (в нашем случае в приложении к внедрению технологий электронного банкинга).
Поэтому результатом методических разработок стала шкала уровней (градаций), которую можно было бы определить как совокупность оценок качества организации конкретной деятельности, снабженных некими комментариями, поясняющими условия, которым соответствуют эти оценки. Одновременно считается, что при практической реализации процессного подхода в той или иной области, в учреждении (или на предприятии) становится принципиально важной адекватная трактовка таких комментариев в приложении к определенным направлениям их деятельности. Что касается практической интерпретации таких критериев в приложении к технологиям электронного банкинга (в плане анализа сопутствующих факторов и источников риска), то в каждом конкретном случае требуется своя проработка на основе анализа состава и функционирования ИКБД, поскольку между технологиями такого рода существует ряд принципиальных различий, особенно в части процедур ввода, передачи, доведения и предварительной обработки клиентской информации, как и в других отношениях, например, в части аппаратно-программных комплексов провайдеров.
Основу рассматриваемой здесь системы оценок (использованной также в проекте «Стандарта качества банковской деятельности», разработанном совместно Банком России и Ассоциацией российских банков) составляют положения из стандарта CobiT[65]. В этом стандарте вводятся шесть так называемых «уровней развития процесса»[66]: нулевой, характеризующий отсутствие процессов менеджмента и пять, характеризующих «оценку уровня развития»: начальный, повторяемый, определенный, управляемый, оптимизированный. Можно, к слову, отметить, что предложенная классификация отличается от уже ставших привычными зарубежных рейтинговых систем, включающих пять оценочных уровней (типа таких систем оценивания, как состояние кредитной организации — CAMELS, ее информатизации — URSIT[67] и др.), что может помешать попыткам их совместного использования, однако здесь это не принципиально, поскольку ниже говорится только о собственно подходе к классификации степени совершенства процессов.
В рассматриваемом варианте описана исходная модель процессного подхода, включающая следующие характеристики степени развития (или совершенства) процессов (в данном случае внутрибанковских):
0 (Отсутствие) — Процессы управления не применяются и не описаны. Осознание проблем с управлением рассматриваемой деятельностью в организации (в данном случае в кредитной) отсутствует как таковое.
Эта оценка соответствует такой ситуации, когда решения о применении банковских технологий в кредитной организации принимаются спонтанно, а решение практических вопросов полностью зависит от исполнителей в ее подразделениях, в основном, естественно, подразделения информатизации (автоматизации) в отсутствие контроля. Такая организация подвержена воздействию наибольшего количества источников компонентов банковских рисков, так что внедрение любого варианта ДБО может подвергнуть ее серьезным испытаниям. Об эффективности деятельности говорить, понятно, не приходится, результаты больше зависят от удачи, чем от профессионализма.
1 (Минимум) — Процессы в кредитной организации специализированы, но неорганизованны. Имеются документы, свидетельствующие о понимании в организации проблем управления, однако существующие процессы управления не стандартизованы, применяются эпизодически (при возникновении очевидной необходимости) и бессистемно. Общий подход к управлению рассматриваемой деятельностью и контролю над ней не выработан.
Такая ситуация типична для многих малых и средних российских кредитных организаций, причем даже независимо от наличия или отсутствия технологий электронного банкинга. В современных условиях им свойственны частые случаи реализации компонентов типичных банковских рисков, так что в перспективе этим организациям для выживания необходим радикальный пересмотр организации внутрибанковских процессов, поскольку в текущем состоянии она заведомо не может считаться пруденциальной и корпоративной, обеспечивающей их надежность и устойчивость.
2 (Повторяемость) — Процессы повторяются «на регулярном основании». Они проработаны до такого уровня, что решение одних и тех же задач возможно разными исполнителями. В то же время регулярное обучение и тренинг по стандартным процедурам отсутствуют, а ответственность (практически) возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок и серьезные затруднения с контролем.
Эта ситуация типична для большинства средних и крупных кредитных организаций российского банковского сектора, применяющих банковские автоматизированные системы и технологии электронного банкинга. Это объясняется тем, что в большинстве таких организаций их руководство практически полностью полагается на знания менеджеров среднего звена и исполнителей, что находит свое отражение во внутрибанковских документах, начиная с порядков использования систем электронного банкинга и заканчивая должностными инструкциями ответственных лиц. Соответственно, частота и значимость возможных ошибок непосредственно связаны с уровнем квалификации этих лиц и осознания зависимости от провайдеров кредитной организации (включая их аппаратно-программное обеспечение). При этом можно говорить о возможности придания управлению кредитной организации корпоративности, но для этого требуется его качественное совершенствование.
3 (Определенность) — Процессы документированы и взаимосвязаны, стандартизованы и доведены до персонала посредством обучения. В то же время применяемые процедуры не оптимальны и не современны, поскольку являются просто отражением использовавшейся в организации практики.
Такая ситуация характера для крупных кредитных организаций, которые располагают значительной ресурсной базой и используют одновременно несколько технологий и систем электронного банкинга, равно как для организаций среднего «размера», приближающихся по качеству корпоративного управления и содержанию внутрибанковских процессов к крупным. Признаки подобного уровня развития внутрибанковских процессов наблюдаются в дочерних кредитных организациях зарубежных коммерческих банков, однако в значительной части это связано с использованием их образцов корпоративных внутрибанковских документов типа «стандартов качества», которые внедрены руководством этих банков: их приходится осваивать и к ним необходимо привыкать персоналу как к «руководствам к действию».
4 (Управляемость) — Процессы наблюдаются и оцениваются — имеет место мониторинг и оценка соответствия. При выявлении низкой эффективности процессов управления рассматриваемой деятельностью обеспечивается их по большей части своевременная оптимизация. Процесс управления постоянно совершенствуется и основан на хорошей практике. Используются средства автоматизации управления, однако в небольшом объеме.
Примеры таких организаций спорадичны и единичны, поскольку недостаток корпоративной культуры и устоявшихся бизнес-моделей, разработанных на предыдущем уровне, пока не позволяют достичь такого уровня.
5 (Оптимальность) — Процессы управления рассматриваемой деятельностью соответствуют «лучшей практике», которая основана на постоянном совершенствовании и сравнении их качества с другими организациями, а также автоматизированы. Такая организация способна к быстрой адаптации процессов при изменениях в бизнесе и условиях его ведения.
Это «идеальная» ситуация, напоминающая полностью автоматизированное производство, так что кредитной организации с такими условиями банковской деятельности «не страшно» браться за любые проекты, на которые хватит ресурсов, поскольку все внутрибанковские процессы «отлажены» и гарантируют плавную и естественную адаптацию к изменяющимся условиям ведения бизнеса. Органам же банковского надзора остается только с удовлетворением наблюдать за ее успешной деятельностью (в условиях полностью хеджированных «остаточных» или «чистых» рисков), которой не угрожает ни техническое «перевооружение» в виде внедрения новых технологий электронного банкинга, ни конкуренция, ни недостатки законодательной и нормативной базы, регламентирующей банковскую деятельность.
Интерпретировать промежуточные ситуации, располагающиеся между худшим и лучшим вариантом, относительно несложно. Оценка качества конкретной банковской деятельности в общем случае устанавливается равной среднему арифметическому уровню зрелости (они варьируются от 0 до 5) по всем составляющим этой деятельности. Преимуществом предложенной модели считается то, что ее относительно несложно использовать и руководству организации в применении к самому себе как своего рода оценочную шкалу. Самооценка такого рода позволяет понять, что именно необходимо изменить, если возникает потребность в совершенствовании функционирования организации (впрочем, и собственно необходимость этого надо еще суметь увидеть и осознать!). Отсчет начинается с нулевой оценки потому, что отсутствие каких-либо процессов вообще вполне реально, а диапазон оценок до 5 позволяет заметить различия в степени совершенства организации процессов, выделяя те характеристики, которые уже имеются (и их можно оценивать), и те, которые явно отсутствуют.
С риск-ориентированной точки зрения в области ДБО здесь можно отметить, что более уместной представлялась бы более сложная система оценивания, включающая хотя бы несколько весовых коэффициентов «значимости» (допустим, трех: высшей, средней и низшей[68]), поскольку кредитные организации могут все-таки значительно различаться по содержанию внутрибанковских процессов в зависимости от их специфики (в том числе степени автоматизации банковской деятельности, составу и потребностям клиентуры, — юридических/физических лиц, доли VIP-клиентов, спектру предлагаемых банковских услуг и способам их предоставления, составу и квалификации персонала и т. д.). Однако, несмотря на такую целесообразность, это не считается очевидным и существенно осложняет решение рассматриваемой задачи на текущем этапе развития российского банковского дела, а поэтому остается пока что хотя и ближайшей, но все-таки перспективой.
Тем не менее можно заметить, что в современных условиях банковской деятельности процесс самооценки по тем или иным ее направлениям стал уже практически типовым для кредитных организаций, на что их ориентируют и документы, разрабатываемые Банком России. При последующем совершенствовании организации банковской деятельности руководство кредитной организации может использовать итоги самооценки для результатов адаптации внутрибанковских процессов и процедур к новым условиям ее функционирования, оценки внешнего аудитора и (или) собственной оценки соответствия тем или иным корпоративным стандартам качества банковской деятельности в качестве одного или нескольких из числа критериев, разработанных в отношении качества управления кредитными организациями, хотя в приложении к применению банковских информационных технологий это еще не считается актуальным (пример подхода органов банковского регулирования и надзора США будет приведен в параграфе 5.3).
Что касается технологий электронного банкинга, то при применении процессного подхода прежде всего следует выделить именно их специфику, которая делает желательным применение именно процессного подхода прежде всего потому, что сама она является причиной появления в содержании банковской деятельности новых процессов, ранее ей не свойственных, о чем крайне полезно иметь представление как лицам, принимающим решения относительно инноваций в банковской практике, так и тем, кто эти решения воплощает в жизнь[69]. Любые же новые процессы, а тем более их отсутствие (если необходимость в них не осознается) могут привести к непредсказуемым результатам, которые способны в итоге обусловить неожиданную реализацию компонентов банковских рисков, что и происходит в тех случаях, когда внедрение новых компьютерных технологий типа электронного банкинга не приводит к модернизации внутрибанковских процессов. Основной причиной этого становится то, что руководство и персонал кредитной организации работают в новых условиях банковской деятельности «по старинке», а контроль над этой деятельностью становится заведомо неэффективным.
По состоянию на сегодняшний день технологии дистанционного информационного взаимодействия между участниками банковской деятельности уже достаточно многочисленны — в их число входят системы электронного банкинга, построенные на разных технологиях и протоколах, разных сетевых архитектурах и разного уровня сложности. Поэтому и «проактивный» анализ ИКБД может охватывать внутрибанковские локальные и/или зональные вычислительные сети (особенно в случае многофилиальных банков), виртуальные частные сети, схемы мобильного и беспроводного доступа к распределенным компьютерным системам, организацию так называемых «демилитаризованных зон» (DMZ) в информационных сечениях между банковскими автоматизированными системами и внешним «киберпространством», комплексы провайдеров кредитных организаций (Интернет, связи, аппаратное и программное обеспечение и др.), средства идентификации, аутентификации и верификации для клиентов и персонала, а также криптозащиты информационного обмена и т. д. Круг подлежащих изучению вопросов, как видно, достаточно обширен, и вопросы эти не из самых простых, тем более что их решение требует в общем случае квалифицированного контроля (как вообще необходимого компонента процесса ППР). При этом такой контроль предполагается, во-первых, полноценным (обеспечивающим информативность, достаточную для принятия оперативных решений), во-вторых, адекватным масштабу и сложности деятельности кредитной организации, в-третьих, своевременным в плане возможного реагирования на предполагаемые негативные события (включая также форс-мажорные ситуации).
Важным аспектом внедрения кредитной организацией, использования и развития процессного подхода в условиях применения ТЭБ является полный и адекватный (потребностям и ее обязательствам перед клиентами) учет состава ИКБД. К сожалению, практика свидетельствует о том, что руководители кредитной организации зачастую не задумываются не только о возможном влиянии его компонентов на их деятельность, но и об указанном контуре как таковом. Ситуация реально выглядит так, как будто за пределами организации, использующей ТЭБ, этого контура не существует. На самом деле виртуальность этого контура может оказать вполне реальное влияние на ее функционирование, особенно в тех случаях, когда требуется гарантировать невозможность так называемого «отказа от операции»[70] (ситуация, кстати, типично проблематичная для таких вариантов электронного банкинга как интернет-банкинг или банкоматное и другое карточное обслуживание), или существует опасность незаметного вовлечения этой организации в противоправную деятельность. В последнем случае ее руководству целесообразно задуматься о том, каким образом ее специалисты могли бы восстановить маршрут прохождения и источник ордеров, т. е. подозрительных клиентов, а соответствующий ИКБД в случае, к примеру, интернет-банкинга как раз и отличается тем, что сделать это без специального технологического и технического оснащения (заранее, конечно, предусмотренного в соответствующей СЭБ) практически невозможно.
Таким образом, первой и наиболее важной процедурой, которую целесообразно организовать при принятии решения о переходе к тому или иному виду ДБО, можно считать изучение формирования будущего ИКБД и специфических особенностей функционирования такого контура. В число этих особенностей входят многие подлежащие рассмотрению и решению вопросы, начиная с надежности разнообразного аппаратно-программного обеспечения, продолжая известной взаимной анонимностью агентов ДБО и заканчивая формированием запасных вариантов (маршрутов) ДБО, включая многочисленные организационно-технические аспекты поддержки его функционирования (с учетом систем различных провайдеров), что усложняет задачу «проактивного» анализа. Отсутствие соответствующих технологических схем не позволит кредитной организации перевести внутрибанковские процессы выше уровня 2, а значит, уровни компонентов банковских рисков фактически останутся неприемлемо высокими, но «скрытыми» от УБР.
Не менее важным аспектом процессного подхода является обеспечение надежности функционирования кредитных организаций в части их отношений с провайдерами. К сожалению, пока еще нельзя сказать, что руководители этих организаций полностью осознают сами факты зависимости их деловой активности от провайдеров и, как следствие, зависимости от них интересов клиентов ДБО. Проблема в основном заключается в том, что специфика аутсорсинга как такового, в чем бы он ни заключался (будь это связь, процессинг, клиринг, хранение резервных массивов банковских данных и т. д.), не осознается полностью ни самими кредитными организациями, ни их клиентами[71]. Вследствие этого кредитная организация зачастую практически не отвечает перед клиентом за проблемы, которые в условиях ДБО могут оказаться обусловленными ее провайдером. В свою очередь клиенты, как правило, не задумываются о том, с какими претензиями они придут в эту организацию в том случае, если из-за неполадок в компьютерных системах провайдеров, предоставляемых ими каналах (линиях) связи и т. п., пропадут или будут искажены либо скомпрометированы их данные (содержание ордеров или результаты операций). В то же время сам факт появления в ИКБД систем провайдеров предполагает наличие особого внимания к содержанию договоров между кредитной организацией и провайдером и между нею и клиентом ДБО с таким распределением ответственности, которое как минимум гарантировало бы отсутствие ущерба интересам клиента в случае, к примеру, возникновения форсмажорных обстоятельств или минимизировало его. Наличие такого внимания предполагает и организацию соответствующего обеспечивающего бизнес-процесса в кредитной организации (в котором участвует и клиентура ДБО со свойственными ей компонентами стратегического, правового и репутационного рисков).
Мало того, в последнее время внимание зарубежных органов банковского регулирования и надзора привлекла проблема так называемого «офшоринга». «Говоря по-русски», офшоринг — это трансграничный аутсорсинг процессинга. Речь идет о ситуации, когда провайдер, осуществляющий, допустим, обработку и хранение банковских данных для кредитной организации (т. е. реализующий соответствующие функции, переданные на аутсорсинг), не является резидентом[72]. БКБН в этой связи считает, что «органы банковского надзора страны резидента должны быть уверены в том, что данный банк в самом деле имеет возможности доступа к критично важным для него данным или информации и контролирует их, что необходимо для адекватного управления деятельностью в области электронного банкинга». Кредитная организация в свою очередь должна предоставить контролирующему органу необходимые гарантии того, что эта ситуация реально имеет место, и их подтверждение (обеспечение).
На самом деле в ситуации трансграничного банковского обслуживания или аутсорсинга процедур (как компонентов процессов) значительно больше: часть из них связана с обеспечением «гарантированного» доверия самой кредитной организации к провайдеру, надежности и защищенности его автоматизированных систем, обеспечению им информационной безопасности, в том числе защищенности от возможных внешних атак на кредитную организацию через распределенную компьютерную систему провайдера и ИКБД, в который он входит. Другая часть связана с доверием со стороны клиента к такой организации, которая использует аутсорсинг процессинга, к тому же трансграничный. Естественно, обеспечение конфиденциальности сведений о банковских данных, принадлежащих на самом деле клиенту, и об операциях с этими данными должно, по идее, гарантироваться обслуживающей его кредитной организацией, которая в свою очередь сама должна иметь необходимые гарантии, к тому же с учетом требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных»[73]. А для этого службы ИТ, внутреннего контроля и обеспечения информационной безопасности кредитной организации (как минимум) должны иметь возможности контролировать ситуацию у провайдеров, обеспечивая тем самым защиту интересов кредитной организации и опосредованно ее клиентов. Такие требования характерны для банковского законодательства ряда стран, к примеру Германии, но в российских условиях правовые основания в отсутствие полноценного регулирования деятельности провайдеров кредитных организаций остаются сомнительными.
Приведенный перечень дополнительных процедур может быть продолжен специалистами самих кредитных организаций в зависимости от того, какие именно внутрибанковские процессы имеют отношение к применению ТЭБ. Главное заключается в том, что рассматриваемый подход должен приводить к созданию в кредитной организации такой совокупности внутрибанковских процессов и такого их административного и организационно-технического обеспечения, которые будут работоспособны и эффективны вне зависимости от тех конкретных технологий электронного банкинга, которые уже используются в ней или которые предполагается внедрять. Этот своего рода «шаблон деятельности» в форме одного из глобальных для кредитной организации процессов превращается тем самым в своеобразный корпоративный стандарт, который гарантирует адекватность принятия решений целям организации и получения результатов независимо от особенной отдельных технологий такого рода. Для ее персонала это будет означать, что каждый сотрудник на своем однозначно определенном месте в точно определенные отрезки времени будет выполнять заданные необходимые функции полно, четко и ответственно. В результате в кредитной организации формируется полнофункциональная и «устойчивая к инновациям» система управления внесением изменений в бизнес-процессы и их контроля, отвечающая потребностям организации и ее клиентов, обеспечивающая тем самым соответствующие конкурентные преимущества.
По результатам проведенного анализа далее в кредитной организации разрабатываются распорядительные документы, положения и порядки, которые предназначены для реализации процессного подхода и в которых описываются также организационные и информационные взаимосвязи между процессами. Тем самым обеспечиваются возможности для реализации принципов эффективного корпоративного управления, которое вместе с управленческим наблюдением (контролем) относится к процессам высшего уровня в кредитной организации. С риск-ориентированных позиций ошибки в определении содержания внутрибанковских процессов этого уровня могут стать основными причинами возникновения источников тех компонентов банковских рисков, которым подвергаются кредитные организации даже независимо от степени квалификации и усилий их исполнительского персонала. При этом особенностью формирования этих процессов на текущем этапе становится необходимость учета всех факторов, действующих в ИКБД, в силу их множественности и разнообразия.
С тех же позиций при проведении анализа желательно учитывать все внутрисистемные информационно-финансовые связи, от которых явно зависит эффективность экономического функционирования клиентов кредитной организации, включая гарантии целостности и защищенности клиентской информации. Во многих случаях такие зависимости образуются «в рабочем порядке», как это обычно бывает при внедрении той или иной инновационной технологии, и, скорее всего, они априори неизвестны руководству кредитной организации (во всяком случае полностью). Поэтому и становится важен комплексный анализ ИКБД в интересах как определения новых внутрибанковских процессов, так и адаптации уже существующих. Недостаточное осознание указанной специфики может быстро привести к возникновению проблем у кредитной организации в случаях, например, массового дистанционного обслуживания с применением так называемой «сквозной обработки» (straight-through processing) при необходимости выявления «на лету» операций, подлежащих обязательному контролю («подозрительных» или «сомнительных»), фиксации сопутствующей сеансовой информации и т. п.
Данный текст является ознакомительным фрагментом.