4.1. Интерпретация принципов корпоративного управления в приложении к условиям применения электронного банкинга
4.1. Интерпретация принципов корпоративного управления в приложении к условиям применения электронного банкинга
Интерес зарубежных органов банковского регулирования и надзора к проблематике собственно корпоративного управления наметился уже достаточно давно — разработки в этой области начались более десяти лет назад, однако активно использовавшиеся уже тогда варианты систем электронного банкинга в них не упоминались. Как ни странно, этой проблематике и до настоящего времени должного внимания не уделяется. Организация экономического сотрудничества и развития (ОЭСР) представила первый проект своих рекомендаций весной 1999 г., после чего в том же году аналогичные рекомендации разработал БКБН[89]. Затем, в 2004 г., ОЭСР был выпущен итоговый документ, содержащий описание базовых положений по корпоративному управлению[90] (эти материалы в дальнейшем послужили основой для серии аналогичных национальных западноевропейских и восточноазиатских разработок). В этих материалах определены направления, по которым может оцениваться состояние корпоративного управления, семантически совпадающие с рекомендациями, предложенными БКБН, из числа которых к рассматриваемой теме имеют непосредственное отношение следующие:
распределение полномочий между органами управления;
утверждение стратегии развития деятельности кредитной организации;
контроль за реализацией этой деятельности;
координация управления банковскими рисками;
мониторинг системы внутреннего контроля.
К числу других направлений относятся:
— организация деятельности совета директоров (наблюдательного совета);
— предотвращение конфликта интересов участников;
— отношения с аффилированными лицами;
— определение правил и процедур, обеспечивающих соблюдение принципов профессиональной этики;
— координация раскрытия информации о кредитной организации.
Несмотря на то что содержание рекомендаций, предложенных
упомянутыми выше международными организациями, не вызывает сомнений, все же современные условия финансовой деятельности в целом и банковской деятельности в частности, во многом определяемые обеспечивающими их компьютерными информационными технологиями, требуют специфической детализации в части практического учета их особенностей и содержания адаптации организации корпоративного управления в новых условиях. Объясняется это тем, что, как уже подчеркивалось, обеспечение «пруденциальности» указанных условий требует от совета директоров и высшего руководства кредитной организации проявления совокупной квалификации, позволяющей ориентироваться в киберпространстве ИКБД, управлять процессами, которые в нем протекают, и контролировать их.
Во всех упоминавшихся материалах речь идет преимущественно о распределении функций, обязанностей и ответственности, прав и полномочий, общем содержании тех или иных внутрибанковских документов, ключевых внутрибанковских процессах, характеристиках ответственных лиц кредитных организаций и т. п. С административно-организационной точки зрения вопросы такого рода безусловно важны, ибо они описывают структурную основу банковской деятельности любой кредитной организации. Однако современные и перспективные условия реализации банковского обслуживания оказываются настолько сложны и специфичны, что одних только вопросов общего плана оказывается недостаточно. Теперь на передний план выходит конкретизация содержания процессов, процедур, обязанностей, ответственности, полномочий и т. п., реализуемых на практике. К слову сказать, сама практика как раз и свидетельствует о том, что зачастую правильные административно-организационные решения и положения сопутствующих им внутрибанковских документов на практике оказываются не более чем «декларациями о намерениях». Наиболее типичными примерами этого являются: распределение ответственности, не подкрепленное должными квалификационными требованиями, формально составленные документы (распорядительные, организационные, инструктивные и пр.), «разорванные» «линейки» подчиненности и подотчетности, недопустимая концентрация прав и полномочий, а также самое главное — отсутствие полноценного мониторинга внутрибанковских процессов, т. е. того, что БКБН определяет как «эффективный управленческий контроль»[91].
Усугубляется ситуация тем, что какие-либо конкретные рекомендации относительно организации и содержания корпоративного управления, реализуемого в кредитной организации, внедряющей ТЭБ, пока еще никем не разработаны. В то же время продолжается периодическое обновление зарубежными органами банковского регулирования и надзора своих материалов, посвященных принципиальным вопросам организации корпоративного управления в целом, и даются рекомендации по его совершенствованию. Одним из последних и, наконец-то, наиболее полноценным руководством такого рода явился документ под названием «Совершенствование корпоративного управления в банковских организациях», разработанный БКБН[92]. Этот документ используется здесь в качестве основы для интерпретации подходов к ведению банковского дела в киберпространстве с позиций анализа влияния особенностей вновь внедряемых технологий и систем электронного банкинга на бизнес-модели и внутрибанковские процессы в кредитных организациях.
В преамбуле к публикуемым рекомендациям БКБН разъясняет, что «практика эффективного корпоративного управления необходима для достижения и поддержания общественного доверия к банковской системе и уверенности в ней, что критично важно для должного функционирования банковского сектора и экономики в целом. Плохое корпоративное управление может привести к банкротству банков, что приведет к значительным потерям общества и последствиям ввиду их влияния на любые „жизнеспособные системы страхования вкладов“’ и возможности более обширных макроэкономических осложнений типа распространения риска[93] и воздействия на платежную систему. Кроме того, плохое корпоративное управление может привести к утрате уверенности рынка в возможностях банков должным образом управлять своими активами и пассивами, включая депозиты, что в свою очередь может спровоцировать отток вкладов или кризис ликвидности». Следует отметить, что такие характеристики, как «эффективное», «плохое», «должным образом», не поясняются, что свойственно материалам БКБН, который обычно не слишком заботится о точном определении понятийного аппарата.
Можно отметить тем не менее, что первое положение, учитывая трактовку его с позиций самой идеи ДБО, говорит по существу о необходимости поддержания доверия со стороны клиентов кредитных организаций к процессу именно дистанционного предоставления банковских услуг. Дискредитация такой идеи скорее всего нанесла бы непоправимый ущерб многим банковским учреждениям, учитывая уже понесенные и «договоренные» затраты на современные банковские технологии и их аппаратно-программное обеспечение (АПО). Это касается, кстати, и всех так называемых «частных платежных систем», которые получили чрезвычайное широкое распространение в последние два года (речь идет о разнообразных платежных терминалах и системах перевода денежных средств, фактически уже превратившихся в компонент российской финансовой системы). Второе приведенное положение комментариев не требует, а третье непосредственно связано с реализацией правового и операционного рисков. Следует отметить, что акцент на этих двух рисках для БКБН стал уже традиционным[94], хотя значимость остальных перечисленных в главе 2 банковских рисков, прямо связанных с административными, управленческими, технологическими и организационно-техническими причинами (угрозами), отрицать в российском банковском секторе на сегодняшний день невозможно.
В материалах БКБН говорится, что «предложенные ОЭСР принципы определяют корпоративное управление как включение [в него] совокупности отношений между менеджментом компании, ее советом, акционерами и другими заинтересованными лицами[95]. Корпоративное управление предоставляет структуру, через посредство которой устанавливаются цели компании, а также определяет средства достижения этих целей и мониторинга функционирования. Хорошее корпоративное управление должно обеспечивать должные стимулы для совета и менеджмента, чтобы достигались цели, представляющие интерес для компании и ее акционеров, а также способствовать эффективному мониторингу». Можно отметить явное несоответствие базового определения семантике самого понятия «управление», которое изначально представляет собой процесс, а поэтому никак не может являться какой-либо «совокупностью отношений». Впрочем, здесь важно подчеркнуть, что само наличие мониторинга, который в высокотехнологичной среде неизбежно должен быть не менее «технологичным», не так просто организовать (что будет показано ниже), причем для этого потребуется наличие весьма специфических знаний и опыта и у самого «совета», и у высшего менеджмента кредитной организации, и у подбираемых ими кадров.
Далее в преамбуле рассматриваемого документа заявлено, что «с позиций банковского сектора корпоративное управление включает способ управления деловой активностью и банковской деятельностью со стороны Совета директоров и высшего руководства, который влияет на то, как они:
— устанавливают корпоративные цели;
— осуществляют банковский бизнес на повседневной основе;
— выполняют обязательства в части подотчетности перед своими акционерами и учитывают интересы других правомочных заинтересованных лиц;
— обеспечивают соответствие корпоративной деятельности и поведения ожиданиям того, что банки будут работать безопасным и надежным образом в соответствии с действующим законодательством и правилами; а также
— защищают интересы вкладчиков».
Надо сказать, что «корпоративные цели» кредитной организации, внедряющей ту или иную ТЭБ, как правило, непосредственно связаны с конкурентной средой и учетом пожеланий клиентов (об этом явно свидетельствуют данные социологических опросов). Что касается «повседневной» банковской деятельности, то в условиях применения ТЭБ это означает как минимум текущий мониторинг руководством кредитной организации реализации бизнес-плана и поддержания бизнес-моделью соответствующего варианта ДБО. Понятно, что то и другое может иметь место только в том случае, если органы управления кредитной организации понимают особенности ДБО (конкретной ТЭБ) и располагают адекватными средствами контроля, для чего им следует позаботиться о наличии таких средств еще до практического внедрения соответствующих систем, т. е. на стадии их проектирования либо, в случае сторонней разработки, принятия решения о приобретении такой СЭБ. В свою очередь это требует от представителей органов управления понимания технологических и технических особенностей функционирования ИКБД и системы, которую было решено внедрить для достижения стратегических целей кредитной организации (или наличия в руководстве кредитной организации некоего комитета, состоящего из специалистов необходимой квалификации).
Важным вопросом является учет интересов таких «заинтересованных лиц», как представители органа банковского надзора. Понятно, что в условиях применения ТЭБ, реализуемых в киберпространстве (которое по определению является виртуальным), кредитной организации придется позаботиться о гарантиях соответствия осуществления банковской деятельности установленным требованиям, которые она сможет представить таким лицам. При этом крайне желательно и создание условий для проведения при необходимости эффективной проверки этими (уполномоченными) лицами результатов применения ТЭБ в плане оценки того же соответствия. Надо сказать, что в этой ситуации, как и вообще при проверке функциональности автоматизированных систем, от всех взаимосвязанных участников такого процесса требуется демонстрация специальных знаний и квалификации начиная с разработки программ, методик и контрольных примеров для испытаний и кончая определением и оценкой свидетельств подтверждения заданной функциональности. Следует отметить, что сказанное в равной мере относится и к работе служб внутреннего контроля, обеспечения информационной безопасности и финансового мониторинга кредитной организации.
Обеспечение технологической надежности функционирования кредитных организаций, осуществляющих ДБО, в условиях открытых систем (например, через Интернет или мобильную связь), также является достаточно непростой задачей, особенно в части парирования возможного негативного влияния сопутствующих источников и факторов рисков. Совету директоров и высшему руководству кредитной организации, использующей ТЭБ, целесообразно заранее (на этапе принятия решений о переходе к ДБО) предусмотреть реализацию совокупности взаимосвязанных мероприятий, направленных на такое обеспечение. Для этого желательно иметь полное представление об особенностях возникновения и проявления источников и факторов риска, обусловленных работой в киберпространстве. Понятно, что даже в отсутствие официальной регламентации ничего страшного в применении ТЭБ в обеспечение банковской деятельности нет — при условии соблюдения элементарных правил здравого смысла и наличии необходимого минимума технических знаний. Тем не менее практика свидетельствует о том, что подавляющее большинство проблем в процессе ДБО возникает как раз из-за того, что о соблюдении правил такого рода органы управления кредитных организаций почему-то не задумываются. Следствием же этого становятся серьезные недостатки в организации внутрибанковских процессов и процедур, в содержании внутрибанковских распорядительных документов, порядков, положений, инструкций и т. п., а также в распределении функций, ответственности, обязанностей, прав и полномочий и т. д., равно как и в контроле над ними.
К этим проблемам тесно примыкает защита интересов вкладчиков, которые, как было отмечено выше, также входят в число «заинтересованных лиц». Впрочем, речь здесь должна была бы идти не только о тех клиентах кредитных организаций, которые связаны с ними именно договорами банковского вклада, но и обо всех лицах, которым требуются банковские услуги этих организаций (это важно с точки зрения содержания договоров на ДБО и внутрибанковских порядков, регламентирующих претензионную работу, где сложно найти соответствующие упоминания, поскольку акцент всегда делается на интересах самой кредитной организации). Таких лиц, понятно, намного больше, чем вкладчиков, вследствие чего и обязательства кредитных организаций оказываются существенно шире, особенно если учитывать многообразие возможных банковских услуг, реализуемых в рамках электронного банкинга, и вариантов ответственности кредитных организаций перед своими клиентами и органом банковского надзора. Корпоративность управления как раз и заключается в том, что гарантии выполнения этих обязательств следовало бы обеспечивать на всех уровнях менеджмента кредитных обязательств по всем «линейкам» подчиненности и подотчетности. Эти «линейки» сами подлежат адаптации вместе с внутрибанковскими процессами и процедурами, модифицируемыми при внедрении новых технологий банковского обслуживания в их жизненных циклах, за что отвечают, естественно, совет директоров и высшее руководство кредитной организации.
В завершение преамбулы рассматриваемого документа подчеркивается, что «практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается банк, или при необходимости принятия значимых корректирующих мер».
Очевидно, что при применении ТЭБ проблемные ситуации могут оказаться достаточно нетрадиционными и вообще связанными не только с самой кредитной организацией, но и с действиями ее удаленной клиентуры (которая весьма «охотно», например, создает инциденты информационной безопасности или делает ошибки при попытках осуществить банковские операции в рамках ДБО), а также с проблемами, которые могут иметь место на территории провайдера кредитной организации. В отношении таких ситуаций руководству кредитной организации целесообразно четко осознавать наличие тех или иных зависимостей банковской деятельности от третьих сторон, т. е. компаний, которые эту деятельность «всего лишь» обеспечивают. В большинстве случаев клиенты кредитной организации об этом обеспечении вряд ли догадываются, а поэтому, как показывает практика, все проблемы, связанные с выполнением обязательств сторонними организациями, задействованными в ИКБД, решать приходится сотрудникам самой этой организации (тот же второй, а то и первый уровень процессного подхода). В связи с изложенным уместно привести точку зрения Федеральной корпорации страхования депозитов США[96], выраженную в одном из руководств по оцениванию рисков, связанных с информационными системами: «Если финансовое учреждение взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, обслуживанием систем, администрированием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, связанных с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то его руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».
Эта формулировка имеет в известном отношении частный характер, но идея, заложенная в ней, понятна: за уровень обслуживания, обеспечиваемый провайдером, по американским канонам ответственность несет тот, кто его нанимает для оказания услуг кредитной организации.
В дополнение к сказанному следует заметить, что даже при заранее предусмотренной реорганизации корпоративного управления, которое, предположим, уже было реализовано в кредитной организации до внедрения очередной новой технологии ДБО, лицам, ответственным за управление рисками, все равно целесообразно осуществлять комплексный анализ возможного смещения профиля риска. Это обусловлено тем, что любая новая, тем более, возможно, не до конца изученная технология при всех своих достоинствах может преподнести малоприятные сюрпризы. К примеру, внедрение банковского обслуживания через Интернет может оказаться для кредитной организации чрезвычайно выгодным, только если ею приняты все меры:
— для гарантированной идентификации клиентов кредитной организации, которые приобретают известную анонимность (как и при любом ДБО);
— достоверной аутентификации информационных сообщений, поступающих из внешнего мира и ассоциируемых с легитимными клиентами;
— полноценного обеспечения информационной безопасности БАС, учитывающего угрозы сетевых атак[97];
— эффективной фильтрации входящего трафика ордеров клиентов вместе с реализацией специфических функций финансового мониторинга;
— обеспечения надежности ДБО с учетом форс-мажорных обстоятельств, в том числе связанных с работой провайдеров кредитной организации и т. п., помимо перечисленных самоочевидных положений.
Очевидно, что эффективное корпоративное управление в оптимальном варианте учитывает все особенности технологий и систем ДБО, которые требуют наличия специальных знаний у представителей как Совета директоров кредитной организации, так и ее высшего руководства (в терминах БКБН). В противном случае инициировать организацию новых внутрибанковских процессов в кредитной организации и адаптацию уже действующих окажется практически некому, если только не найдутся энтузиасты-исполнители.
В самом начале рассматриваемого документа акцентировалась необходимость обеспечения «эффективного корпоративного управления» (п. 8). Поскольку в анализируемом тексте определение этого понятия, т. е. того, какое именно корпоративное управление может считаться эффективным, отсутствует, логично предложить его интерпретацию исходя из описаний недостатков, которые свойственны наблюдаемым реалиям. Прежде всего это касается собственно перехода кредитной организации к обслуживанию клиентов посредством электронного банкинга начиная с возникновения первичных идей и предпосылок, относящихся к развитию банковского бизнеса в современных конкурентных условиях, продолжая адаптацией внутрибанковских процессов и заканчивая созданием пруденциальных условий применения технологий и автоматизированных систем такого рода. Изучение того, каким образом нередко подготавливается такой переход, свидетельствует, что во многих случаях итоговые решения, после которых «запускается» процесс внедрения тех или иных ТЭБ, принимаются если и не совсем стохастически, то, во всяком случае, без должного обоснования. Понятие «должное» употреблено здесь в том смысле, который, как правило, закладывает в свои документы БКБН. Здесь речь идет о целесообразности полноценного ТЭО при максимально возможном учете факторов, влияющих на содержание и качество банковской деятельности с учетом динамики рыночной конъюнктуры. В рассматриваемом документе, как отмечалось, говорится лишь о влиянии корпоративного управления:
на осуществление банковской деятельности на повседневной основе;
выполнение обязательств в части подотчетности перед своими акционерами и другими лицами;
обеспечение соответствия корпоративной деятельности и поведения ожиданиям того, что банк будет работать безопасным и надежным образом в соответствии с действующим законодательством и правилами.
Далее в анализируемом документе отмечается роль корпоративного управления в определении так называемых средств «мониторинга функционирования» [кредитной организации], который к тому же должен быть «эффективным» (п. 9). Понимание сложности ТЭБ, трактуемых как основа для осуществления современной банковской деятельности, вынуждает признать, что эффективным может считаться только такой мониторинг, который действительно позволяет контролировать функционирование кредитной организации как реального объекта, но через виртуальное пространство, с наличием всей информации, необходимой для принятия конструктивных решений относительно дальнейшего поддержания надежности банковской деятельности. В этом отношении остается только пожалеть, что БКБН не описал, помимо желательного распределения полномочий среди членов совета директоров, кто будет эти полномочия распределять. Это, как и в случае процессного подхода, тоже своего рода мета-уровень ответственности, которую могут нести только персоны с «недюжинным», т. е. двойным и тройным высшим образованием (а куда без него денешься в современной высокотехнологичной банковской сфере?!). Выполнение решений, кстати, необходимо контролировать, однако в условиях ТЭБ соответствующие процедуры основываются на компьютерных технологиях, и это неизбежно.
Давно известно, что сложность контролирующих систем может от двух до десяти раз превышать сложность систем контролируемых. Понятно, что кредитные организации не могут позволить себе такую роскошь, поэтому и система внутреннего контроля во многих кредитных организациях в отношении современных информационных технологий зачастую «так себе» и решение многих, особенно технологических и технических вопросов остается «на доверии». О выполнении же упоминавшегося принципа «четырех глаз» как при принятии решений, так и при осуществлении контроля нередко просто не приходится говорить, потому что даже при наличии этих «глаз» их квалификация (а это — главное!) ни в коей мере не адекватна сложности информационных технологий, применяемых кредитными организациями. Возникает логичный вопрос, а на чем в таком случае будет основана уверенность органов управления этих организаций в том, что все идет «как надо»? Какие гарантии именно руководство кредитной организации сможет дать ее клиентам и контролирующим органам? И вообще, так сказать, «кто охраняет часового» в современных условиях банковской деятельности и в ней самой?
Надо отметить, справедливости ради, что в других своих материалах БКБН постулирует необходимость проведения тщательного предварительного анализа новых банковских продуктов и видов деятельности, который позволил бы гарантировать понимание характера связанных с ними рисков и возможности его учета в процессе управления рисками. При этом еще до введения нового продукта руководству кредитных организаций предлагается утвердить адекватные функциональные инструкции и адаптировать систему управления рисками. Одновременно подчеркивается важность различения руководством кредитных организаций рисков, присущих новым продуктам и операциям, и учета их в соответствующих внутрибанковских инструкциях и системе контроля. Причем указывается, что нововведения, связанные с хеджированием рисков или управлением ими, следует заблаговременно рассматривать правлению кредитной организации или специально созданному им комитету. Следует заметить, что БКБН во многих своих материалах делает акцент на создании различных комитетов в высших органах управления кредитных организаций, особенно в ситуациях, связанных с потенциальными смещениями профилей банковских рисков (а это происходит практически всегда при внедрении ТЭБ). В то же время вопросы ответственности за правильный состав и выбор специалистов в таких комитетах, особенно когда речь идет о высоких технологиях, как правило, не обсуждаются и конкретные рекомендации не приводятся.
Из приведенных выше положений изначально следует то, что на всех иерархических уровнях управления в организации целесообразна преемственность, рассматриваемая как с позиций соответствия текущей и перспективной банковской деятельности принятой в кредитной организации «политике» (любимый термин БКБН), так и в плане обеспечения требуемой квалификации персонала, ответственного за успех этой деятельности. Это в свою очередь предполагает наличие на каждом из уровней менеджмента специалиста такой квалификации, которая позволяет ему подбирать подходящих специалистов следующего, более низкого уровня. А те уже в свою очередь должны обладать способностями, позволяющими эффективно работать с вновь внедряемыми технологиями и реализующими их системами и т. д. Тем самым обеспечивается преемственность на каждом из уровней менеджмента по всем формируемым в кредитной организации иерархическим «линиям» распределения обязанностей/ответственности и подчиненности/подотчетности, а значит, создаются и гарантии выполнения кредитной организацией принятых на себя обязательств.
Что касается эффективности системы корпоративного управления, то она определяется гарантиями достижения установленных в организации бизнес-целей на каждом из уровней менеджмента. Это в свою очередь зависит от того, насколько успешно адаптированы указанные линии к новым условиям наряду с внутрибанковскими процессами и процедурами. В любом случае при внедрении сложных банковских компьютерных технологий, способных внести серьезные изменения в ее бизнес-модели, необходимо задуматься, как минимум, о переподготовке персонала и о том, кем будут определяться состав и содержание соответствующих учебных курсов (иначе об «эффективности» говорить не придется), или же о целесообразности приема на работу специалистов, имеющих необходимую квалификацию. То и другое, на взгляд автора, неплохо иллюстрируется карикатурой, приведенной на рис. 4.1 (см. сайт www.cartoonbank.com). Понятно, что на каждом уровне менеджмента и на конкретную исполнительскую должность необходимо «помещать» специалиста минимально необходимой, а лучше более высокой квалификации. В условиях внедрения в кредитной организации новой ТЭБ решение этой кадровой проблемы становится непростой задачей.
Таким образом, как и раньше, в высокотехнологичной среде «кадры решают все»; однако не только в рассмотренной части, поскольку в анализируемом документе БКБН фигурируют также понятия «надежное корпоративное управление» и «эффективное наблюдение» («естественно», не определенные в тексте документа). Эти понятия введены в связи с кратким упоминанием позиции органа банковского надзора (п. 11), который «чрезвычайно заинтересован в надежном корпоративном управлении, поскольку оно является необходимым компонентом безопасного и надежного функционирования банка и может влиять на профиль риска в случае ненадлежащей его реализации. Ввиду того что функции Совета директоров и высшего руководства в части определения политики, реализации политики и мониторинга соответствия требованиям являются ключевыми элементами функций контроля над банком, эффективное наблюдение над деятельностью и сделками банка со стороны его Совета и высшего руководства содействует поддержанию эффективной и рентабельной системы надзора. Надежное корпоративное управление содействует также защите вкладчиков кредитной организации и позволяет органу банковского надзора в большей степени полагаться на внутрибанковские процессы управления банковскими рисками и внутреннего контроля. Более того, практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается кредитная организация, или при необходимости принятия значимых корректирующих мер, поскольку надзор может потребовать от Совета директоров его существенного вовлечения в поиск решений и контроль реализации корректирующих мер».
Первое из двух упомянутых и необходимых для интерпретации базовых понятий, относящихся к «надежности», можно связать с наличием в системе менеджмента кредитной организации обоснованных гарантий такого выполнения функций, установленных на каждом из его иерархических уровней, или, иначе, должностных обязанностей, которое в свою очередь обеспечивало бы выполнение всей организацией своих обязательств перед клиентами и контролирующими органами. Для этого такие обязанности, равно как и квалификационные требования, должны соответствовать конкретным операционным функциям, предусмотренным на технологических участках во вновь вводимой СЭБ. Это относится не только к повседневной деятельности специалистов кредитной организации, но и к действиям в условиях возможных чрезвычайных ситуаций, которые следует предусматривать и оформлять в виде плана действий на случай таких обстоятельств. К сожалению, практика свидетельствует о том, что до этих важнейших аспектов банковской деятельности корпоративность отечественного банковского управления не всегда «дотягивает». Упоминавшийся разрыв между восприятием содержания банковской деятельности и осознанием новых форм ее осуществления посредством технологий и систем электронного банкинга проявляет себя и здесь, из-за чего ответственность за операционные функции часто «делегируется» самим исполнителям, которые, мало того, еще и сами себя контролируют (второй уровень процессного подхода).
Другое понятие, связанное с результативностью наблюдения, также имеет прямое отношение как к квалификации менеджеров разного уровня, так и к структуре кредитной организации и отдельных ее подразделений, так или иначе имеющих отношение к применению ТЭБ. Под эффективным наблюдением можно понимать лишь такой контроль, при котором полностью осознаются и учитываются системные взаимосвязи отдельных процедур, входящих в состав, возможно, разных внутрибанковских процессов.
На практике руководители перечисленных выше служб нередко не получают всех необходимых для адаптации реализуемых процедур указаний от курирующих вице-президентов или аналогичных должностных лиц кредитных организаций. Достаточно часто встречаются ситуации, когда даже в документарное обеспечение этих подразделений не вносится никаких изменений и дополнений несмотря на то, что кредитная организация внедряет одну систему ДБО за другой (как правило, это две и более системы интернет-банкинга, ориентированные на разную клиентуру или работающие через разные информационные контуры, системы интернет-трейдинга, мобильного банкинга, банкоматов и т. п.). Очевидно, что в подобных ситуациях ни о каком корпоративном управлении говорить не приходится, что бы при этом ни декларировалось кредитной организацией.
Вместе с тем не менее очевидно, что в условиях применения нескольких систем ДБО целесообразно использовать комплексный подход к организации деятельности перечисленных выше служб, а такая комплексность заведомо является прерогативой высших органов управления кредитной организацией, что, кстати, также постулируется БКБН. Фактически речь идет о принятии согласованных решений относительно одновременного внесения изменений в работу не одной, но ряда служб кредитной организации, что обусловлено именно радикальными изменениями в способах и условиях банковского обслуживания, привносимых ТЭБ, и мысль об этом упорядочении должна по идее стать превалирующей для этих органов управления.
Прежде всего такие изменения касаются работы службы автоматизации (информатизации) кредитной организации, которой неизбежно потребуется осознание особенностей нового ИКБД и к тому же обладание новой квалификацией в связи с внедрением новой для нее ТЭБ. Это может быть связано с возникновением необходимости изменения конфигурации внутрибанковской вычислительной сети (локальной или зональной), включая внедрение новых серверных мощностей для обслуживания расширяющейся клиентской базы и обработки направляемых клиентами ордеров. Это в свою очередь означает выделение дополнительного финансирования (а поскольку такое финансирование часто осуществляется по остаточному принципу, то потребуется еще и доказательная база, а доказывать надо известно кому — «корпоративным управляющим» и главному бухгалтеру); далее идут выбор поставщиков аппаратно-программного обеспечения, заключение контрактов, поставки, испытания, опытная эксплуатация и т. д. В то же время сама кредитная организация заинтересована в том, чтобы независимо от того, какие именно новые технологии внедряются, они не оказали негативного влияния на ее функционирование и опять-таки на выполнение взятых на себя обязательств перед клиентами и контролирующими органами.
При организации бизнес-процессов основными факторами надежности функционирования кредитной организации становятся именно программно-алгоритмическое обеспечение и обслуживание банковских автоматизированных систем и систем электронного банкинга. Этот постулат не является «открытием», но он приведен здесь потому что от этих факторов прямо зависит целостность клиентских и банковских данных и доступность банковского обслуживания. Под целостностью здесь уместно понимать соответствие информации установленным требованиям и невозможность ее несанкционированного изменения (искажения), а под доступностью — наличие возможности получения доступа авторизованными пользователями к требуемому им АПО — автоматизированным системам и приложениям (прикладным программам). Вопросы доступности сервисов кредитной организации и целостности передаваемых, обрабатываемых и хранимых банковских и клиентских данных в условиях ДБО становятся актуальными и для самой организации, и для ее клиентов, а следовательно, АПО БАС и СЭБ должны быть организованы таким образом, чтобы не оставалось незакрытых «дыр» в информационном обеспечении претензионной работы, финансового мониторинга, а также контролирующих, правоохранительных и судебных органов.
Следом за этим новая квалификация потребуется и службе внутреннего контроля, поскольку появятся новые (и не самые простые) подлежащие контролю процедуры. При этом возникают новые информационные сечения в БАС и (или) между нею и каждой СЭБ, новые информационные потоки, которые тоже необходимо контролировать, дополнительные массивы банковских и клиентских данных (начиная с бухгалтерского учета и заканчивая финансовым мониторингом, для которого установлен специальный набор правил и программ[98]), равно как и новые формы банковской отчетности (внутренней и внешней, например, по форме 0409251). С точки зрения финансового мониторинга условия ДБО специфичны в первую очередь тем, что кредитная организация не всегда может быть уверена в том, что работает с официально зарегистрированным ею, легитимным клиентом (поскольку возникает непростая проблема обнаружения передачи средств (т. е. прав и полномочий) доступа к банковским счетам и управления ими при совершении противоправных действий, например финансовых преступлений). Следовательно, должен однозначно решаться вопрос: доступность для кого? Банк России, кстати, в свое время обратил на это внимание, выпустив соответствующие документы: Положение Банка России от 19 августа 2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Положение 262-П) и Письмо Банка России от 30 августа 2006 г. № 115-Т «Об исполнении Федерального закона „О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма“ в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)». В свою очередь клиент не всегда может быть уверен в том, что он действительно работает со «своим банком» (это проблема обнаружения, к примеру, «фишинга» и предотвращения соответствующих негативных для клиентов последствий).
Кроме того, добавляются вопросы пруденциальной организации взаимоотношений с провайдерами, входящими в ИКБД, которых тоже желательно контролировать с позиций обеспечения непрерывности процессинга, финансового состояния, доступности систем ДБО и т. п. Этот факт свидетельствует о целесообразности разработки и внедрения нового внутрибанковского процесса, в котором должны участвовать несколько структурных подразделений кредитной организации: информатизации, внутреннего контроля, информационной безопасности, правового обеспечения и т. д.
Если говорить конкретно об обеспечении информационной безопасности, то с ним возникает наибольшее количество проблемных вопросов, обусловленных возникновением того же ИКБД, следствием чего оказываются прежде всего расширение периметра информационной безопасности и возникновение новых зон концентрации источников рисков, а также расширение некоторых зон ответственности кредитной организации (хотя есть и другие аспекты). Необходимо отметить, что «сводить» решение всех проблем ДБО в рамках комплексного подхода с учетом вопросов информационной безопасности (в совокупности, кстати, с тем же внутренним контролем, проверяющим, как с ней обстоят дела) все равно приходится высшему руководству кредитной организации. Само «комплексирование» такого рода представляет собой отдельную задачу охватывающую синхронное видоизменение сразу нескольких внутрибанковских процессов с позиций обеспечения информационной безопасности кредитной организации, электронного банкинга и ее клиентов. Конечно, с внедрением ТЭБ ничего страшного не происходит при условии принятия грамотных и адекватных ситуации решений, но их еще надо принять, и обоснованно.
Специальное внимание целесообразно уделить также работе юридической службы кредитной организации, ведь отношения организации с клиентами в условиях ДБО меняются радикально. С одной стороны, целесообразно предусмотреть в текстах договоров с клиентами положения, которые взаимно обезопасили бы обе стороны от возможных конфликтных ситуаций, которые могут возникнуть в связи с отмечавшейся взаимной анонимностью. Следует подчеркнуть, что это не такая простая проблема, как может показаться, ввиду ряда сопутствующих негативных факторов. Типичными примерами являются обеспечение невозможности отказа от операции (взаимной), т. е. придание операции бесспорного характера в условиях документарного обмена в электронной форме, и распределение ответственности между сторонами в ситуациях прерывания обслуживания, как минимум, между кредитной организацией и каким-то провайдером. Есть еще и проблема противоправного использования ТЭБ за счет анонимности сторон, связанной с удаленностью.
Эти соображения в свою очередь обусловливают весьма внимательное отношение к содержанию договоров на ДБО, заключаемых кредитной организацией и с клиентами, и с провайдерами, а также процедурам финансового мониторинга. Поэтому специалистам юридической службы кредитной организации также уместно разбираться в технологических и даже, пожалуй, в технических вопросах, и такой квалификацией лучше обладать заранее, до того как клиент, совершивший ошибку или пострадавший от действий хакера, предъявит претензии по поводу пропавших денежных средств или сама кредитная организация окажется втянута через ДБО в аферу. При организации правовой поддержки ДБО и комплайенс-контроля полезно учитывать также дефицит специальной квалификации в области информационных технологий у лиц, принимающих судебные решения, и не очень богатую арбитражную практику. Кстати, в договорах на ДБО часто фигурируют упоминания о создании специальных комиссий, разбирающих конфликтные ситуации, но о требованиях к их составу, порядку формирования и работы, итоговым документам и их юридической силе и т. п. в этих документах нередко ничего не говорится. Все перечисленное свидетельствует о том, что руководству кредитной организации надо преодолеть «квалификационный разрыв» на стыке разных дисциплин, и это — еще один негативный фактор, препятствующий достижению «истинной» корпоративности управления.
Во избежание реализации описанных здесь сценариев развития угроз надежности банковской деятельности целесообразно еще до перехода к практическому использованию ДБО и обслуживанию (не только представителей персонала кредитной организации, с чего часто начинаются пилотные проекты такого рода — своего рода этап бета-тестирования СЭБ) модернизировать организацию собственно принятия управленческих решений и контроля, корпоративного по своим принципам и масштабу. В литературе по этому вопросу оба этих процесса обычно объединяют в одно понятие «корпоративного управления», и хотя, с точки зрения автора, это не совсем корректно, в последующем изложении будет учитываться именно такой подход.
Для полноты картины, которая формируется анализируемым документом БКБН, следует упомянуть, что специальный раздел в нем посвящен роли надзорных органов, о чем руководителям кредитных организаций полезно иметь представление. В отношении этих контролирующих органов сформулированы и кратко поясняются шесть положений, которые, вероятно, также целесообразно учитывать совету директоров кредитной организации при формировании структуры корпоративного управления и распределении ответственности и обязанностей, подчиненности и подконтрольности. Каждое из таких положений начинается со слов «сотрудникам надзора следует», после которых формулируется содержательная часть описания функций этих сотрудников, а именно:
— обеспечивать наличие рекомендаций (руководства) для банков по надежному корпоративному управлению и его «проактивному»[99] внедрению;
— рассматривать корпоративное управление как элемент защиты вкладчиков;
— определять, насколько банк воспринял и эффективно реализовал политику и практику надежного корпоративного управления;
— оценивать качество функций аудита и контроля в банке;
— анализировать влияние групповой структуры банка;
— обращать внимание совета директоров и руководства банка на проблемы, которые были выявлены в процессе выполнения надзорных функций.
Рассмотрение этих положений выходит за рамки книги, хотя можно отметить, что совмещение в одном документе рекомендаций для кредитных организаций и для органа банковского надзора может, вероятно, способствовать улучшению взаимопонимания между контролируемыми организациями и, как обычно пишет в своих документах БКБН, «регулятором» банковской деятельности. Ниже предлагается описание установленных этим комитетом принципов корпоративного управления вместе с их интерпретацией в приложении к практическому применению кредитными организациями технологий электронного банкинга с риск-ориентированной точки зрения.
Данный текст является ознакомительным фрагментом.