Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Принцип 11. Должен быть организован эффективный и полноценный внутренний аудит системы внутреннего контроля, осуществляемый функционально независимым, прошедшим должную подготовку и компетентным персоналом. Те, кто осуществляет функцию внутреннего аудита как части мониторинга системы средств внутреннего контроля, должны отчитываться непосредственно перед советом директоров или его аудиторским комитетом и перед высшим руководством.

Независимая от рабочих подразделений кредитной организации функция внутреннего аудита, имеющая доступ ко всей его банковской деятельности, включая филиалы, считается важной частью текущего мониторинга системы средств ВК, поскольку она «обеспечивает независимое оценивание соответствия установленным политике и процедурам». Оценка работы соответствующей службы должна даваться советом директоров или высшим руководством, определяющими также ее финансирование, причем независимо от руководителей контролируемых подразделений. Других комментариев БКБН к этому принципу не дает, хотя возникают как минимум три вопроса: а) целесообразно ли дублирование службой внутреннего аудита (ВА) процедур ВК и если да, то в какой мере; б) какой должна быть квалификация специалистов этой службы, если в случае, скажем, применения ТЭБ в службе ВК и так должны быть представлены как минимум финансовая, техническая (с ориентацией на компьютерные технологии) и юридическая квалификации; в) какова должна быть компетентность представителя руководства кредитной организации, который будет оценивать результаты внутреннего аудита? Вероятно, более уместным было бы разделение функций обеих служб таким образом, чтобы сотрудники ВК больше ориентировались на организационные, технологические (в широком смысле) и технические аспекты банковской деятельности, а ВА — на административные, финансовые и правовые вопросы, хотя готовых решений в этой части на сегодняшний день, похоже, еще не найдено, вследствие чего в других, не рассматриваемых здесь работах БКБН встречаются и не согласующиеся с рассмотренными положения.

Принцип 12. О недостатках во внутреннем контроле независимо от того, выявлены они по направлениям бизнеса внутренним аудитом или другим персоналом, выполняющим контрольные функции, следует своевременно и адресно докладывать на соответствующем управленческом уровне. О значимых недостатках во внутреннем контроле следует докладывать высшему руководству и совету директоров.

В комментарии к этому принципу отмечается, что после выявления недостатков в работе ВК действия руководства кредитной организации по исправлению ситуации должны быть «адекватными и своевременными». Внутренним же аудиторам следует осуществлять последующий контроль и устанавливать, все ли недостатки исправлены, докладывая об этом руководству и документируя все проблемы и корректирующие мероприятия.

Принцип 13. Органам надзора следует требовать, чтобы все банки, независимо от их размера, имели систему средств внутреннего контроля, соответствующую характеру, сложности и риску, присущему их балансовым и внебалансовым операциям, которая адаптировалась бы к изменениям в самом банке и внешних условиях. В тех случаях, когда надзорным органом устанавливается, что система внутреннего контроля банка не является адекватной или эффективной с точки зрения конкретного профиля риска банка (например, учитывает не все принципы, изложенные в настоящем документе), им должны приниматься соответствующие меры.

Построение СВК кредитной организации, ее адекватность содержанию банковской деятельности и эффективность, а также реакция руководства на результаты ее функционирования «должны оцениваться органом банковского надзора на основе риск-ориентированного подхода». При этом особо отмечается, что «должны оцениваться средства контроля в областях повышенного риска (как то, деятельность, характеризуемая необычной доходностью, быстрым развитием, новыми бизнес-решениями, географической удаленностью от головного офиса)». Можно предположить, что последние два примера непосредственно относятся к ДБО. Далее сказано, что «…изменения в условиях работы банка следует подвергать специальному рассмотрению». К этим изменениям отнесены:

1) изменения в операционных условиях;

2) прием нового персонала;

3) внедрение новой информационной системы или ее модернизация;

4) быстрое развитие какой-либо области деятельности;

5) внедрение новых технологий;

6) появление новых услуг, видов обслуживания или деятельности;

7) корпоративная реструктуризация, слияния и приобретения;

8) внедрение или расширение зарубежных операций.

Очевидно, что практически три четверти перечисленных изменений можно прямо отнести к внедрению или расширению применения технологий электронного банкинга. Что касается «соответствующих мер», то под ними понимаются информирование руководства кредитной организации о выявленных проблемах и мониторинг мероприятий, проводимых им для устранения недостатков ВК. Соответственно сотрудникам СВК следует быть готовыми к тому, что все связанное с новыми банковскими информационными технологиями, особенно в современных условиях с технологиями ДБО, привлечет внимание банковского надзора.

В завершение рассмотрения можно заметить, что в последние годы получают распространение так называемые «трансграничные» банковские операции, совершаемые кредитными организациями в электронной форме в рамках ДБО. Дополнительный стимул к их развитию дала такая его разновидность, как интернет-банкинг. Этому направлению в настоящее время уделяется повышенное внимание органов банковского и финансового надзора разных стран в связи с целым рядом потенциальных проблем ДБО, а именно его правовой неурегулированностью на локальных и международном уровнях, прохождением транзакций через процессинговые центры, расположенные на территории разных государств, возможностями его использования для «отмывания» денег и пр. Поэтому в современных условиях перед последним, 13-м принципом Рекомендаций можно было бы добавить еще один принцип, формулировка которого получена на основе положений более поздних публикаций БКБН:

Банкам следует интегрировать в свою систему управления рисками те риски, которые могут оказаться связаны с трансграничным банковским обслуживанием через каналы электронного банкинга. Все процедуры управления такими рисками, как риск ликвидности, операционный, правовой, репутационный, страновой и стратегический риски, необходимо адаптировать с позиций обеспечения выполнения обязательств перед клиентами, адекватного раскрытия информации о банковской деятельности и организации надлежащих процессов контроля управления рисками и оценки его качества до того, как приступать к трансграничному обслуживанию с помощью технологий электронного банкинга.

Трансграничная активность в рамках ДБО постоянно увеличивается в последнее время, поскольку пользование таким обслуживанием расширяется во многих странах и Россия не является исключением. Причем наблюдается стабильный рост пользователей Интернета, которые охотно используют эту разновидность ДБО ввиду предоставляемых ею удобств для доступа к банковским услугам. Не исключено, что в скором времени, учитывая результаты либерализации российского валютного законодательства, клиенты будут обращать все меньше внимания на то, в какой конкретно стране мира расположен банк, услугами которого они предполагают воспользоваться.

На основе проведенного рассмотрения уместно сделать еще два принципиальных замечания по существу вопроса модернизации ВК как процесса, СВК как «общебанковской» структуры и обеспечения совокупной квалификации входящих в нее специалистов кредитной организации, внедряющей ТЭБ, а именно:

1) кредитные организации могут неадекватно оценивать надежность (качество) процесса ВК (и ФМ), вследствие чего могут смещаться профили и повышаться уровни банковских рисков;

2) контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса ВК способам и условиям осуществления ими своей банковской деятельности.

На обеих проблемах в последние годы зарубежными органами финансового контроля (в широком смысле) делаются серьезные акценты.

В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов[163], основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г.[164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям: