4.2. Особенности организации управления и контроля в условиях применения электронного банкинга
4.2. Особенности организации управления и контроля в условиях применения электронного банкинга
Базельский комитет по банковскому надзору определил и прокомментировал следующие восемь принципов надежного корпоративного управления[100].
Принцип 1. Члены совета директоров должны быть квалифицированы для своих должностей, иметь ясное понимание своей роли в корпоративном управлении и быть способны выносить обоснованные суждения относительно деятельности банка.
В документе при этом подчеркивается, что «совет директоров является основным ответственным за операции и финансовую надежность своего банка», «банкам следует иметь адекватное количество и должную комбинацию директоров», и определяется ряд базовых требований к составу и содержанию деятельности руководящих органов кредитной организации. В современных условиях банковской деятельности (текущих и перспективных), т. е. в условиях применения технологий электронного банкинга осознание содержания ответственности и комбинация квалификаций директоров представляют собой наиважнейшие требования, которые акционерам кредитной организации и ее наблюдательному совету следовало бы изначально предъявлять к высшему руководству такой организации. Практика этой деятельности свидетельствует, что возникновение многих источников компонентов банковских рисков оказывается следствием недостаточной компетентности тех, кто в кредитной организации принимает решения (или, что, пожалуй, чаще соответствует действительности, поддерживает предложения) о внедрении ДБО (это, бывает, осознается слишком поздно).
Можно с уверенностью предположить, что в подавляющем большинстве случаев никаких сомнений относительно упомянутой в формулировке первого принципа «роли» в деятельности кредитной организации члены ее совета директоров не испытывают. Однако в части, касающейся вынесения суждений об этой деятельности, в современных условиях требуются специальная квалификация и известная подготовка в предметной области ДБО, если кредитная организация внедрила какую-либо ТЭБ. Дело в том, что в число вопросов, по которым необходимо принимать руководящие решения, входит определение нужных этой организации характеристик всех компонентов ИКБД, с которыми неизбежно придется иметь дело. Это относится и к специалистам кредитной организации, и к ее руководителям, потому что решения предлагаются обычно указанными специалистами, но оценивать и утверждать (или отклонять) их должны руководители. Главное, о чем при этом следует позаботиться — это об удержании уровней рассматривавшихся выше компонентов банковских рисков в допустимых пределах, причем заранее понимая, что действие новых компонентов (возникновения источников) этих рисков может оказаться априори неизвестным, непредсказуемым даже специалистами в области ИТ и обеспечения информационной безопасности.
Зарубежными органами банковского регулирования и надзора в последние годы регулярно публикуются все новые материалы, содержащие полезные рекомендации для органов управления кредитных организаций, применяющих новые, а иногда и довольно «экзотические» технологии ДБО. При этом предполагается, что детальная интерпретация в таких публикациях постулатов, гарантирующих «безрисковую» деятельность, остается прерогативой самих кредитных организаций, на руководство которых соответствующие документы и ориентированы, и, скорее, даже нецелесообразна. Вместе с тем практика изучения применения технологий электронного банкинга свидетельствует о том, что это — ошибочная позиция, из-за чего в том числе своего рода «плата за страх» в условиях применения таких технологий может оказаться слишком высокой (особенно когда клиенты кредитных организаций теряют суммы от сотен тысяч до десятков миллионов рублей). Кстати говоря, надо учитывать и негативное влияние традиционного наследия, о котором уже упоминалось: при внедрении ТЭБ стык гуманитарных (финансовых, экономических, юридических) и технических дисциплин (информатика, связь, информационная безопасность) не так легко сделать «безшовным».
Все упоминавшиеся ранее зоны концентрации источников банковских рисков и зоны ответственности кредитной организации в оптимальном варианте должны изучаться и анализироваться ее руководством (коль скоро именно по его решению клиентам этой организации предлагается ДБО), причем проводя четкие различия между этими зонами в ИКБД. Качество учета влияния этих зон и их характеристик[101] на деятельность и состояние кредитной организации зависит именно от осознания содержания ответственности и комбинации квалификаций ее директоров и высшего руководства, поэтому описываемые требования к этим лицам могут показаться завышенными, однако это — тоже неизбежная плата за риск.
Стратегический риск является первым из тех банковских рисков, которые реализуются вследствие недостаточной компетентности ответственных лиц, которые принимают решения относительно внедрения ТЭБ. Особенности же реализации таких решений могут оказаться завуалированными, скрытыми последствиями реализации типичных банковских рисков. Очевидно, что, принимая решение, скажем, о развертывании сети банкоматов, высшее руководство кредитной организации обязано предусмотреть все возможные первопричины и варианты реализации компонентов банковских рисков: нарушения работы АПО (самих банкоматов, БАС кредитной организации или процессингового центра), аварии линий связи, несвоевременное денежное подкрепление, отпуска ответственных лиц, аварии у провайдеров каналов связи, банкоматные мошенничества (включая появление новых программ-вирусов, с помощью которых совершаются хищения с карточных счетов клиентов) и многое другое вплоть до возможных «отказов в обслуживании» во время сильных морозов. Можно отметить, что эти «автоматические кассовые машины»[102] — технологически и технически не самый сложный вариант ДБО, хотя сам по себе далеко не простой (учитывая варианты аренды банкоматных сетей и управления ими через Интернет). В их АПО, кстати, основной акцент в последнее время делается кредитными организациями на развитии многофункционального банковского обслуживания, интегрирующего различные информационные технологии в интересах повышения эффективности и снижения рисков банковской деятельности. Совмещение кассовых, платежных, валютообменных, транзакционных и других операций в устройствах такого типа требует существенных изменений в подходе к выявлению, анализу, мониторингу компонентов типичных банковских рисков и управлению ими, которые должны находить отражение во внутрибанковском процессе УБР (в оптимальном варианте его организации).
В завершение анализа первого принципа корпоративного управления необходимо упомянуть о распределении обязанностей и ответственности в кредитной организации в части управления и в части контроля ТЭБ. Назначать на ответственные должности менеджеров высшего и среднего звена, равно как и на ключевые исполнительские, целесообразно сотрудников, обладающих знаниями и квалификацией, необходимыми для исполнения своих, зачастую сложных (поскольку сами ТЭБ такие) обязанностей. Понятно, что тот, кто осуществляет такие назначения, сам должен обладать квалификацией, достаточной для того, чтобы оценить квалификацию назначаемых сотрудников, причем до того, как они приступят к работе, а не после того, когда эта квалификация, вернее, ее отсутствие, проявит себя негативным образом. Соответственно и ролевые функции в части подбора персонала логично распределять на уровне высшего руководства с учетом профессиональных качеств каждого из его членов. Скорее, впрочем, наоборот: современное банковское дело — занятие весьма непростое и организационно, и технологически, и технически. Случайные люди вряд ли смогут заниматься им эффективно, имея в виду положительный эффект для клиентов кредитной организации, для нее самой и для контролирующих ее деятельность органов.
Принцип 2. Совету директоров следует утверждать и контролировать стратегические цели банка и корпоративные ценности, которые пропагандируются по всей банковской организации.
В комментариях к этому принципу акцент делается на том, что «совету директоров следует обеспечить внедрение высшим руководством стратегической политики и процедур, разработанных в интересах содействия профессионализму деятельности и целостности. Этому совету следует также гарантировать реализацию высшим руководством такой политики, которая запрещала бы (или должным образом ограничивала) деятельность, отношения или ситуации, которые могут ухудшить качество корпоративного управления». Упоминание о профессионализме более чем уместно в условиях применения ТЭБ кредитной организацией, но что это может или должно означать конкретно и что именно может негативно повлиять на качество корпоративного управления в этих условиях?! На такие вопросы не так легко найти ответы, как это может показаться при принятии решения о внедрении СЭБ.
Содержание понятия «корпоративные ценности» претерпевает расширение, тем более что негативное действие «человеческого фактора» никто не отменял, а в условиях применения ТЭБ это действие может оказаться завуалировано распределенными компьютерными системами и телекоммуникационными сетями, лежащими в основе реализации любой ТЭБ. Соответственно высшему руководству кредитной организации, вероятно, придется задумываться о том, насколько хорошо сможет оно контролировать приверженность этим ценностям специалистов в области компьютерных технологий (особенно уровня администраторов). Ситуация усугубляется тем, что деятельность таких специалистов в киберпространстве весьма далека от транспарентности, а отношение к таким сотрудникам нередко остается прежним, как к людям, говорящим на «птичьем языке». Тем самым, между прочим, демонстрируется «корпоративное непонимание» степени и серьезности зависимости кредитной организации и ее клиентов от компьютерных технологий.
Следует подчеркнуть, что значительная часть мероприятий, проводимых в обеспечение сохранения «корпоративных ценностей», обычно имеет запретительный или ограничительный характер. Поэтому руководству кредитных организаций приходится в новых условиях либо самому разрабатывать такие меры (а их неизбежно становится все больше и они становятся все «тоньше»), либо обращаться к специалистам, имеющим необходимую профессиональную подготовку. Если говорить о том, что в большинстве случаев причины «недостижения» стратегических целей связываются с некомпетентностью, халатностью и злым умыслом инсайдеров (персонала) кредитных организаций[103], то акцент делается на обеспечении гарантий информационной безопасности. Вследствие этого налагаются запреты на использование в кредитной организации мобильных носителей информации (флэш-карт, компакт-дисков, выносных накопителей на жестких дисках), доступ в Интернет в целом или отдельные его зоны, пользование устройствами мобильной компьютерной связи, подключение модемов, применение технологии виртуальных частных сетей (VPN) и т. п.
Это лишь еще один пример, а в общем случае если требуется обеспечить реализацию высшим руководством кредитной организации такой политики, которая должным образом ограничивала бы деятельность, отношения или принятие решений, которые могли бы снизить качество корпоративного управления, то необходим анализ конкретной формирующейся ситуации. Целесообразно понять, что это означает в конкретной кредитной организации, внедряющей определенную (и, возможно, заранее не очень хорошо изученную) ТЭБ и получающей вместе с ним некий ИКБД, простирающийся, возможно, до ее бэк-офиса. А самое главное — желательно отчетливо представлять себе, что именно может негативно повлиять на качество корпоративного управления в складывающихся условиях.
Принцип 3. Совету директоров следует устанавливать в организации четкую подчиненность и подотчетность и обеспечивать ее соблюдение.
В этой части постулируется, с одной стороны, то, что «эффективно действующие советы директоров четко определяют полномочия и распределение основной ответственности для себя, равно как и для высшего менеджмента. Они также понимают, что неопределенная подотчетность или же неясность, множественность иерархий ответственности может усугублять проблему из-за несвоевременных или ослабленных реакций». Очевидно, что для реализации первого положения члены совета директоров должны иметь отчетливое представление и об ответственности, и о полномочиях, которые касаются технологий, реализуемых в виртуальном пространстве. С другой стороны, постулируется, что «высшее руководство несет ответственность за делегирование полномочий персоналу и создание структуры менеджмента, которая способствует подотчетности, не теряя осознания обязательств менеджмента в отношении наблюдения за реализацией такой делегированной ответственности и его исключительной ответственности перед советом директоров за функционирование банка». Опять-таки, тот, кто делегирует ответственность (к тому же обремененную, по необходимости, изрядной квалификацией), должен, вероятно, иметь представление о тех полномочиях, которые он не формально (и документально зафиксировано!), а фактически передает, тем более что они реализуются хотя и в физическом, но отнюдь не в реальном, воспринимаемом органами чувств пространстве, и могут к тому же затрагивать разные уровни внутрибанковской иерархии и контроля.
Как показывает практика, внедрение новых банковских информационных технологий, таких как технологии электронного банкинга, может внести некий «сумбур» в налаженную банковскую жизнь. Как правило, специалистов, которые профессионально разбираются в этих технологиях, не хватает, что во многом объясняется попаданием в нашу страну таких технологий в основном из-за рубежа. Наблюдаются также активные попытки зарубежных компаний-разработчиков банковского программного обеспечения внедриться на российский рынок. Применение любой ТЭБ неизбежно связано с приобретением новой или совершенствованием имеющейся квалификации, вследствие чего задача распределения в кредитной организации ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности может оказаться достаточно непростой. Решать же ее, кроме высшего руководства этой организации, зачастую некому, если только не найдутся в ней энтузиасты, которые спасают ситуацию за счет личной инициативы. Однако, учитывая сложность ТЭБ, полагаться на энтузиазм и специалистов, которые, как нередко приходится слышать, «все знают, вот пусть и делают» — без точных указаний и бесконтрольно — дело рискованное, а наносимый в результате такой халатности ущерб зависит от того, в отношении каких именно массивов данных «сработает» человеческий фактор.
При недостатке понимания того, как функционируют внедряемые технологии и соответствующее АЛО СЭБ, многие компоненты рисков связаны с ошибками в упомянутом выше распределении. Как правило, недостатки в корпоративном управлении проявляются с начала внедрения ТЭБ. В оптимальном варианте руководство кредитной организации инициирует процесс разработки комплекта документарного обеспечения внедряемой ТЭБ (а это свидетельствует, что в его составе имеются лица, знающие о необходимости этого процесса и представляющие его содержание). К сожалению, до настоящего времени многое в области информационных технологий все еще делается, как говорят, «на коленях» и «с колес», что всегда приводит к реализации компонентов банковских рисков и соответственно финансовым потерям, причем о причинах этих потерь нередко даже не догадываются как раз те, кто должен был бы эти потери предотвратить.
Поскольку ТЭБ реализуются в виртуальном пространстве, еще на начальном этапе внедрения следует задуматься об их управляемости и контролируемости. Здесь распределение подчиненности и подотчетности целесообразно устанавливать таким образом, чтобы деятельность в этом пространстве ни в коем случае не зависела полностью от лиц, обладающих уникальными полномочиями в кредитной организации. Речь идет о повсеместно встречаемой чрезмерной концентрации полномочий в руках отдельных должностных лиц, чаще всего это администраторы различного назначения: системные, сетевые, информационной безопасности, баз данных и т. п. Членам высшего менеджмента кредитной организации целесообразно отчетливо понимать, что специалистами этого круга не так просто руководить, как, например, операционистами, деятельность которых ограничена функционалом интерфейса, с помощью которого они управляют банковскими платежными и другими технологическими процессами. Деятельность таких специалистов еще сложнее контролировать, особенно когда дело касается банковских информационных технологических процессов. Членам совета директоров целесообразно иметь отчетливое представление о том, возможно ли осуществление каких-либо несанкционированных действий с помощью ТЭБ (к примеру, в оказавшихся неподконтрольными информационных сечениях автоматизированных систем), а также о том, чем именно гарантируются полнота и целостность информации, получаемой для оценки финансовых результатов деятельности кредитной организации и в последующем служащей для принятия руководящих решений.
Делегирование ответственности в виртуальном пространстве, реализация которой требует незаурядной квалификации, стало в современном компьютерном мире серьезной проблемой двойственного характера, поскольку необходимо не только определить и распределить права и полномочия, но и обеспечить эффективный контроль за их использованием. ТЭБ принципиально осложняют ситуацию тем, что указанное распределение само оказывается распределенным: руководству кредитной организации целесообразно четко осознавать (и фиксировать это осознание во внутрибанковских документах), какие именно полномочия она «выпускает из рук», полагаясь на клиентов и провайдеров, а также какие средства компенсации утраты полного контроля за их деятельностью (хеджирования сопутствующих компонентов рисков) имеются в ее распоряжении.
Принцип 4. Совету директоров следует обеспечивать наличие должного наблюдения со стороны высшего руководства, согласующегося с политикой совета.
В комментарии к этому принципу отмечается, что «членам совета директоров и высшего руководства, отвечающим за повседневное наблюдение над менеджментом в банке, следует обладать должной квалификацией, которая обеспечит управление назначенной им деловой активностью равно как и требуемый контроль над ключевыми исполнителями по данному направлению». Это положение имеет принципиальное значение при работе в высокотехнологичной среде, поскольку речь в этом случае идет о контроле над работой профессионалов в области компьютерных технологий, как правило, весьма высокой квалификации. Понятно, что для роста квалификации всегда существуют какие-то пределы, так что в ситуациях применения распределенных компьютерных систем необходимо известное усложнение структуры самого контроля как плата за невозможность «объять необъятное» и обеспечение совокупной квалификации.
В этом принципе заложены очень важные идеи преемственности и обеспечения ее на разных уровнях иерархии кредитной организации. В то же время упоминавшийся ранее разрыв между традиционным восприятием содержания банковской деятельности и новыми способами и условиями ее осуществления может и здесь сыграть негативную роль, приводя к нарушению непрерывности и целостности корпоративного управления. Проблемы заключаются в том, что, во-первых, в условиях ТЭБ не так просто обеспечить это «должное наблюдение», о чем уже упоминалось выше, и, во-вторых, не так просто гарантировать адекватное понимание особенностей технологий и систем ДБО на разных уровнях иерархии в кредитной организации. Простейшим примером в этом случае может служить содержание должностных инструкций, которое варьируется на разных уровнях менеджмента и нередко радикально отличается от исполнительского уровня.
Опыт практического изучения этого, казалось бы достаточно «узкого» вопроса свидетельствует, что понимание того, каким образом можно обеспечить должное наблюдение со стороны высшего руководства в условиях применения ТЭБ, не является полным. Выражается это, в частности, в том, что должностные инструкции исполнительского уровня (например, специалистов, старших, ведущих, иногда главных специалистов), как правило, требуют знания настроек и функционирования совершенно конкретных, принятых или принимаемых «на вооружение» кредитной организацией программно-информационных комплексов (или, как иногда говорят, «программных продуктов»). Это могут быть комплексы самого разного назначения: операционного дня, ДБО, различных серверов (баз данных и других), брандмауэров, маршрутизаторов, телекоммуникационные и т. п. Также могут предъявляться требования знания определенных языков программирования, инструментальной среды систем управления базами данных и др. Таким образом, речь идет о достаточно узкой и во многом заранее известной квалификации и глубоких, детальных знаниях операционной среды банковской деятельности. В то же время в должностных инструкциях менеджеров разных уровней подобные положения встречаются нечасто, причем относится это к руководителям департаментов, управлений, отделов и их заместителям. Очевидно наличие почвы для нарушения целостности управления: на каких-то уровнях неизбежны разрывы в понимании того, что именно происходит в компьютерных системах, как этими процедурами управлять и, что, возможно, даже более важно, как контролировать происходящее.
Практически любой контроль в компьютерных системах обеспечивается за счет формирования и ведения специальных файлов: системных журналов (так называемых «логов») и аудиторских журналов («трейлов»). Специалисты очень хорошо понимают ценность таких файлов, особенно когда возникает необходимость в системных «откатах» и восстановлении данных и (или) процессинга из-за сбоев или ошибок, в расследовании инцидентов (в том числе информационной безопасности), возникновении ситуаций отказа от операции и т. п. Однако внедрить всю «линейку» подчиненности и подотчетности с тем, чтобы руководство кредитной организации могло получить как можно более полную управленческую информацию в любой момент времени, организовать соответствующие мероприятия в иерархии подчиненности и проконтролировать их выполнение с доведением до конкретных массивов банковских и клиентских данных, — это уже искусство корпоративного управления (к тому же если происходит все это в многофилиальной системе, в которой филиалы кредитной организации также осуществляют ДБО).
Принцип 5. Совету директоров и высшему руководству следует эффективно использовать результаты работы, выполняемой службой внутреннего аудита, внешними аудиторами и службой внутреннего контроля.
В связи с этим принципом подчеркивается, что «высшему руководству следует осознавать значимость эффективного внешнего и внутреннего аудита, а также контроля в обеспечении долгосрочной надежности банка». В этом отношении необходимо заметить, что, во-первых, квалификация аудиторов должна позволять им выполнять свою работу в высокотехнологичной среде, а во-вторых, учитывая не столь долгую практику аудиторской деятельности в России вообще, для выбора «подходящей» в конкретной ситуации аудиторской компании потребуется, вероятно, провести достаточно объемный анализ этого рынка услуг в поисках специалистов нужной квалификации. Понятно, что это «по силам» не каждой кредитной организации, так как для оценки уровня квалификации необходимо располагать сопоставимой суммой знаний — если не большей, то и не меньшей.
Вопросы осуществления внутреннего и внешнего аудита в связи с применением кредитными организациями ТЭБ до настоящего времени не прорабатывались ни в банковском сообществе, ни законодателями. Существуют отдельные рекомендации, разработанные БКБН и другими зарубежными органами банковского регулирования и надзора, но считать их адекватными с точки зрения осознания значимости этой проблематики пока еще преждевременно, хотя ряд российских кредитных организаций и дочерних организаций зарубежных коммерческих банков имеют опыт привлечения внешних аудиторов информационных технологий, но делают это «по личной инициативе» и без тщательной проработки программ таких проверок (на основе установленной методологии).
В последнее время все большую актуальность вместе с внедрением технологий электронного банкинга и связанных с их реализацией банковских автоматизированных систем приобретает также проблематика осуществления внутреннего контроля в кредитных организациях, использующих такие технологии[104]. Руководству кредитных организаций, внедряющих ТЭБ, целесообразно учитывать тот факт, что дело с этими технологиями «зашло далеко» и обратной дороги, скорее всего, нет. Поэтому настал момент «остановиться и оглянуться», оценивая состояние внутреннего контроля в первую очередь с позиций качества управления рисками (подробно эта тема будет рассмотрена в следующем разделе).
Принцип 6. Совету директоров следует обеспечивать соответствие политики и практики выплаты вознаграждения корпоративной культуре банка, долгосрочным ориентирам (целям) и стратегии, а также условиям контроля.
Этот принцип касается рассматриваемой тематики, пожалуй, только в части оплаты труда наиболее квалифицированных специалистов, непосредственно работающих с системами электронного банкинга: администраторов различных направлений, но он является весьма важным. В комментариях БКБН к этому принципу сказано, что, во-первых, «отсутствие связи между стимулирующим вознаграждением для членов совета директоров и высшего руководства и долгосрочной деловой стратегией может привести к действиям, противоречащим интересам банка и его акционеров…» и, во-вторых, что «совету директоров или специально назначенному комитету следует определить и установить вознаграждения для членов совета директоров и высшего руководства, соответствующие принятой политике компенсации, а также гарантировать, что такое вознаграждение соответствует культуре банка, долгосрочным целям и стратегии, условиям контроля». Приведенные комментарии вряд ли можно считать полными, и неполнота эта обусловлена, по-видимому, некоторой «удаленностью» специалистов БКБН от реальности.
В этом принципе логично было бы упомянуть тех специалистов, от которых реально зависит эффективное функционирование кредитной организации, а именно тех, кто управляет ее БАС и системами ДБО. Практически это означает целесообразность адекватной оплаты квалификации, т. е. создание условий «удержания» наиболее квалифицированных специалистов, непосредственно работающих с ТЭБ. Это относится в первую очередь к различным администраторам БАС и компонентов распределенных компьютерных систем, но не только к ним. Не секрет, что такие специалисты, безусловно, считают себя «самыми умными» (и иногда реально близки к этому состоянию), вследствие чего они нередко приходят к выводу о явно недостаточной оценке своего труда руководством кредитной организации. Это свойственно различным специалистам в области ИТ и их руководителям в структуре иерархии кредитных организаций, и может привести к проблемам.
В настоящее время уже отмечаются заметные миграционные процессы в банковском секторе, связанные не только с индивидуальными, но и с групповыми переходами «команд» специалистов ИТ из одной кредитной организации в другую. Вместе с собой эти люди уносят большие объемы знаний, причем не только специальных, но и о БАС и СЭБ той кредитной организации, которую покидают. Во многих публикациях в последнее время как в нашей стране, так и за рубежом обращается внимание на то, что при неблагоприятном стечении личных обстоятельств специалисты наиболее высокой квалификации способны нанести и наиболее серьезный ущерб интересам как самой кредитной организации, так и ее клиентов. Тот факт, что в рассматриваемом принципе БКБН речь идет только о членах совета директоров и высшего менеджмента кредитной организации, похоже, свидетельствует о том, что и в этом комитете не до конца осознают степень зависимости современной банковской деятельности от информационных технологий и реализующих эти технологии автоматизированных систем.
Принцип 7. Управление банком должно быть прозрачным.
Этот принцип касается в основном устранения конфликтов интересов и к рассматриваемой тематике не имеет прямого отношения. Тем не менее надо кратко отметить, что в одном из пунктов комментариев к этому принципу упоминается, что «желательно своевременное и точное раскрытие на общедоступных web-сайтах кредитной организации» сведений о ее структуре, правах собственности и внутрибанковской политике (просто в качестве дополнения к установленным формам публикуемой банковской отчетности сказанное не следует воспринимать как исчерпывающий перечень). При этом отмечалось, что раскрываемую информацию целесообразно соотносить с размером, сложностью, структурой собственности, экономической значимостью и профилем риска банка. Можно сделать замечания к этим положениям в том плане, что получение информации через Интернет в современном мире становится отнюдь не дополнительным, а одним из основных способов информирования для многих представителей общества. Поэтому, во-первых, значимость представительства в Интернете и его информационного контента трудно переоценить, а во-вторых, учитывая такую значимость, логично предположить, что вопросы организации, ведения и сопровождения задействуемых кредитной организацией web-сайтов, равно как и соответствующего контроля (включая определение содержания отношений с компаниями, которые могут отвечать за функционирование представительства кредитной организации в мировой Сети), также попадают в сферу интересов совета директоров и высшего руководства кредитных организаций.
Принцип 8. Совету директоров и высшему руководству следует понимать операционную структуру банка, включая и то, под какие юрисдикции подпадает банк в своей деятельности, или через посредство структур, препятствующих прозрачности (т. е. должен реализоваться принцип «знай свою структуру»).
Этот принцип — последний по порядку, но один из первых по значимости, впрочем, его присутствие вызывает некоторое удивление из-за своей самоочевидности: если совет директоров и высшее руководство кредитной организации не понимают ее операционной структуры, то вряд ли их можно считать реальными руководителями, да и продлиться такое «руководство» может недолго. Другое дело, что при применении ТЭБ эта структура может усложниться как за счет применения распределенных компьютерных систем, локальных и зональных вычислительных сетей, так и в случаях интернет- и мобильного банкинга — глобальных информационных сетей. Представить себе все информационные контуры банковской деятельности, которые возникают при множественном применении ТЭБ, а следовательно, и уязвимости кредитной организации и ее клиентов с точки зрения смещения профиля рисков может оказаться весьма затруднительно.
В отношении ИКБД можно акцентировать ряд вопросов, прежде всего возможное содержание работы кредитной организации через те или иные структуры, которые могут снижать прозрачность его деятельности. В приложении к ТЭБ это, как правило, различные провайдеры, которые осуществляют те или иные виды обслуживания (как, например, широко известная система Factura.ru) или процессинг и хранение банковских данных. Кроме того, во многих случаях ДБО кредитная организация неизбежно и с клиентами взаимодействует через провайдеров. То же самое относится к ситуациям, когда такая организация или ее подразделения работают через «другие юрисдикции», — в случае трансграничных операций и передачи банковских и клиентских данных. Во всех этих случаях руководству кредитной организации, как указывается в материалах БКБН, следует адаптировать функции, выполняемые службой внутреннего контроля, и управление рисками с учетом внешних факторов такого рода. Сюда же уместно добавить и некоторые аспекты осуществления финансового мониторинга, возникающие из-за известной анонимности ДБО (двусторонней). Поэтому к наращиванию «технологической базы» банковской деятельности целесообразно относиться с известной осторожностью, не внедряя новые технологии до тех пор, пока не будет достигнуто полное понимание их специфики.
Несмотря на объемность проведенного рассмотрения, на взгляд автора, к восьми рассмотренным принципам можно было бы обоснованно добавить еще два немаловажных, которые могут иметь прямое отношение к корпоративному управлению в условиях применения ТЭБ, а именно:
1) совету директоров и высшему руководству следует сознавать повышение значимости обеспечения информационной безопасности внутрибанковских процессов, процедур и массивов данных, обрабатываемых и хранимых кредитной организацией, в условиях применения технологий электронного банкинга;
2) совету директоров и высшему руководству следует четко видеть зависимость кредитной организации от сторонних организаций, не имеющих прямого отношения к банковской деятельности, но обеспечивающих ее осуществление (т. е. от провайдеров и вендоров).
На самом деле обеим этим проблемам БКБН уделял известное внимание в базовом материале, посвященном принципам управления рисками при электронном банкинге[105], и поскольку тогда значимость их подчеркивалась, несколько странно отсутствие упоминания о них в анализируемом документе. Внедрение новых технологий должно было бы приводить как к пересмотру политики обеспечения информационной безопасности, так и к дополнительному анализу ситуации, например, в плане принятия решения о необходимости разработки частных политик безопасности для каждой из систем ДБО. Кстати, что касается обеспечения информационной безопасности, то еще в одном из более ранних документов 1998 г. БКБН говорилось о необходимости распространения внутреннего контроля на его оценку в целом, однако в этой публикации этот вопрос не только не акцентирован, но и вообще опущен. Тем не менее он является принципиально важным, так как от качества обеспечения информационной безопасности в современных условиях (применения ТЭБ) может непосредственно зависеть «жизнеспособность» кредитной организации.
Принцип же, касающийся отношений с провайдерами, предполагает осознание зависимости кредитной организации от компаний, которые обеспечивают передачу, обработку, хранение массивов банковских данных или реализуют другие функции, переданные на аутсорсинг. Основное внимание здесь логично уделять при необходимости вариантам резервирования и оперативной смены провайдера, а также в предельном случае оперативного возврата выполнения переданных на аутсорсинг функций на свои «мощности» без прерывания операционной деятельности и выполнения своих обязательств перед клиентами. Последнее требует организации соответствующего планирования и тестирования планов такого рода на их реализуемость
Адаптация корпоративного управления к условиям применения ТЭБ может показаться или оказаться достаточно трудоемким и аналитически сложным процессом. На самом деле ничего сверхсложного в создании пруденциальных условий применения любых банковских информационных технологий нет. Достаточно грамотно решать административные, организационные, технологические и технические вопросы в рамках полноценного и адекватного масштабам и сложности банковской деятельности корпоративного процесса. Тот факт, что вопросы корпоративного управления вышли сегодня на первый план в проблематике гарантировано эффективной банковской деятельности, свидетельствует и о том, что накопилась критическая масса проблем, попадающих в данную категорию, и о том, что необходим качественный скачок в организации внутрибанковских процессов и процедур для их решении, и о том, что невнимание к проблемам такого рода может оказаться серьезнейшим фактором риска для современных высокотехнологичных кредитных организаций.
Данный текст является ознакомительным фрагментом.