Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Рассматриваемая работа (далее — Рекомендации) была ориентирована, как заявлялось, на «совершенствование банковского надзора с помощью рекомендаций, способствующих надежному управлению рисками». В ней была определена общая схема оценивания органом банковского надзора СВК кредитной организации, а фактически — модель СВК, признаваемая этим органом, которая базировалась на 13 принципах, предназначенных для использования как при совершенствовании банковского надзора, так и при оценивании системы ВК кредитной организации. Как было сказано во введении к этому материалу, «эти принципы имеют общий характер, и органам надзора следует использовать их при оценке своих собственных методов и процедур надзора для мониторинга организации банками своих систем внутреннего контроля». Одновременно однозначно указывалось на то, что «данные принципы предоставят полезную схему для эффективного надзора за системами внутреннего контроля». Таким образом, очевидно, что назначение принципов изначально полагалось двояким.

Постулировалось также, что в этом материале «описаны безусловно необходимые компоненты надежной системы внутреннего контроля», хотя в явной форме эти компоненты не предлагались банкам как обязательные для реализации. Следует, кстати, отметить, что однозначных предложений такого рода в документах БКБН вообще не встречается, и разговор обычно ведется с позиций пруденциальной организации внутрибанковских процессов, систем и процедур, реализуемых такими системами, и так называемой «лучшей практики» (без ее определения, естественно). Учитывая «надзорный» характер работы службы ВК в кредитной организации, легко прийти к заключению о пригодности рассматриваемых рекомендаций и их интерпретации для определения содержания процесса ВК в высокотехнологичной кредитной организации.

Можно заметить, что БКБН изначально строит свои Рекомендации так, как будто организация и содержание деятельности СВК в кредитных организациях совершенно не зависят от того, какие именно банковские информационные технологии ими применяются. С этим вполне можно было бы согласиться, но только в случае рассмотрения проблематики ВК с самых общих позиций. В то же время, находясь на таких позициях, в условиях ДБО невозможно определить не только четкие требования к внутрибанковским процессам и процедурам, так или иначе связанным с ВК, но даже пути и подходы к их организации, не говоря уже о такой «конкретике», как, например, квалификационные требования к персоналу СВК, его профессиональной подготовке и к сопровождению ДБО. В рассматриваемом материале прямо сказано, что «данное руководство не акцентируется на специфических областях или деятельности банковской организации», поскольку конкретная реализация ВК «зависит от характера, сложности и рисков, связанных с деятельностью определенного банка». В то же время в основаниях для излагаемого БКБН подхода отмечается, что «…системы контроля, хорошо работающие в случаях предоставления традиционных или простых услуг, могут оказаться непригодными при предоставлении более сложных или комплексных услуг». Тем не менее содержание ВК концентрируется именно на деятельности кредитной организации (а не только на выполняемых ею операциях) и служит управлению ею (хотя и опосредованно, но явно — в плане ИСУ и ППР), а поэтому возникает закономерный вопрос: как все-таки учитывать в его проведении характер, сложность и риски, связанные с электронным банкингом?

Ниже проводится рассмотрение предлагаемых БКБН принципов, описывающих организацию ВК, которые каждая кредитная организация может использовать для формирования собственной действенной методики осуществления ВК (изложив ее во внутренних документах, представляемых службе банковского надзора) и дополнения ее такой методикой выявления, оценки, анализа, мониторинга банковских рисков и управления ими, которая будет максимально учитывать особенности построения банковских автоматизированных систем, архитектур их вычислительных сетей, систем электронного банкинга и АЛО, на котором эти системы базируются. Сказанное относится и к реинжинирингу СВК кредитной организации в целом в связи с внедрением ТЭБ, что определяется решениями ее высшего руководства в соответствии с внутрибанковским мета-процессом, связанным с переходом к ДБО.

Принцип 1. Совет директоров должен нести ответственность за утверждение и периодическую проверку общей бизнес-стратегии и наиболее важных политических решений для банка, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков и гарантирование того, что высшее руководство принимает необходимые меры для идентификации, измерения, мониторинга и контроля этих рисков, утверждение организационной структуры, а также обеспечение мониторинга со стороны высшего руководства эффективности системы внутреннего контроля. Совет директоров является в конечном счете ответственным за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля.

Анализируя содержание этого принципа, можно предположить, что система ВК может считаться эффективной, если в результате ее работы агрегированный риск, принимаемый кредитной организацией, окажется равным так называемому «чистому риску», который определялся ранее. Отсюда следует вывод, что в руководящие органы этой организации должны входить специалисты, разбирающиеся и в банковских рисках, и в их источниках, и в измерении рисков, и в мероприятиях по воздействию на источники рисков с целью исключения или снижения их влияния на результаты принятия решений (в рамках ПСУ). В органах банковского регулирования и надзора США считается, что такие руководители в административной иерархии кредитной организации соответствуют по уровню вице-президенту и менеджеру отдельного бизнес-направления (который определяется как «Chief Executive Officer»[160]).

В комментариях к этому принципу отмечается, что «совету директоров банка рекомендуется включить в свою деятельность в части ВК:

1) регулярное обсуждение с руководством эффективности системы ВК;

2) своевременные запросы оценок средств ВК со стороны руководства, внутренних и внешних аудиторов;

3) периодический контроль выполнения руководством рекомендаций аудиторов и надзорных органов по устранению недостатков В К;

4) периодическую проверку следования стратегии банка и ограничению уровней банковских рисков»

Здесь же упоминается возможность формирования в помощь совету директоров кредитной организации дополнительного контрольного органа — «аудиторского комитета», который «должен состоять из независимых директоров, имеющих представление о финансовой отчетности и средствах ВК». В обязанности этого комитета входят контроль финансовой отчетности и наблюдение за функционированием СВК. По-видимому, в дальнейшем (в формулировке принципа 11) именно эта функция обозначается как «мониторинг внутреннего контроля». Однако одновременно говорится, что «аудиторский комитет, как правило, наблюдает за деятельностью департамента внутреннего аудита банка, непосредственно взаимодействует с ним, а также осуществляет основное взаимодействие с внешними аудиторами». Про СВК не сказано ничего, вследствие чего ситуация с множащимися контрольными органами представляется несколько запутанной.

Как бы то ни было, относительно электронных банковских технологий сказанное выше означает, что и в совете директоров кредитной организации, и в ее высшем руководстве (да, пожалуй, и в аудиторском комитете) крайне желательно присутствие таких специалистов, которые имеют представление о распределенных компьютерных системах в целом, о построении информационных контуров банковской деятельности и о тех угрозах безопасности, целостности операций и данных, как факторах риска, которые типичны для таких контуров (что позволяет провести параллели с материалом в Risk Management Principles for Electronic Banking). На практике такая компетентность проявляется по-разному: в принятии обоснованных стратегических решений относительно внедрения технологий ДБО как таковых и их отдельных вариантов (в общем случае, с исключением повышения уровней банковских рисков, рассматривавшихся в главе 2), проведения соответствующей маркетинговой компании, определения тарифных планов, содержания договоров с клиентами, контрагентами и другими провайдерами (с позиций удержания уровней типичных банковских рисков в допустимых пределах), реализации функций ОИБ, ВК и ФМ и т. п. При этом само понятие адекватности ВК предполагает, что все перечисленное будет относиться и ко всем видам банковских операций, выполняемых кредитной организацией, и к предоставляемым ею видам обслуживания клиентов, причем с помощью всех используемых средств автоматизации этого обслуживания (ИКБД). Наконец, предполагается, что конкретные представители высшего руководства кредитной организации способны предъявить требования как к составу и организации СВК, так и к составу используемого АПО, а также убедиться в том, что эти требования реально выполняются (сказанное относится к так называемому «мониторингу системы ВК», о чем идет речь в Положении 242-П).