/ / Language: Русский / Genre:banking

Применение технологий электронного банкинга: риск-ориентированный подход

Л. Лямин

Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга. В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге риск-ориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора. Книга может быть полезна представителям высшего руководства и менеджерам среднего звена кредитных организаций, а также студентам и аспирантам, интересующимся современными подходами к управлению банковскими рисками в условиях электронного банкинга.

Л.В. Лямин

Применение технологий электронного банкинга:

риск-ориентированный подход

Принятые сокращения

DFD — (Data Flow Diagram) диаграмма потоков данных

DMZ — (DeMilitarized /one) демилитаризованная зона

FFIEC — Федеральный совет по проверкам финансовых учреждений США

ОСС — Управление контролера денежного обращения США

SLA — (Setyice Level Agreement) соглашение об уровне обслуживания

VPN — (Virtual Private Network) виртуальная частная сеть

АПО — аппаратно-программное обеспечение

АРМ — автоматизированное рабочее место

АС — автоматизированная система

АСП — аналог собственноручной подписи

БАС — банковская автоматизированная система

БКБН — Базельский комитет по банковскому надзору

ВА — внутренний аудит

ВК — внутренний контроль

ГК РФ — Гражданский кодекс Российской Федерации

ДБО — дистанционное банковское обслуживание

ЖЦ — жизненный цикл

ЗВС — зональная вычислительная сеть

ЗСК — знай своего клиента

ИБ — интернет-банкинг

ИСУ — информационная система управления

ИТ — информационные технологии

ЛВС — локальная вычислительная сеть

НСД — несанкционированный доступ

ОИБ — обеспечение информационной безопасности

ОЭСР — Организация экономического сотрудничества и развития

ПИО — программно-информационное обеспечение

ПОД/ФТ — противодействие отмыванию денег и финансированию терроризма

ППР — поддержка принятия решений

ПСИ — приемо-сдаточные испытания

РМВ — реальный масштаб времени

СБ — служба безопасности

СБР — системный банковский риск

СВК — служба внутреннего контроля

СОР — система оценивания рисков

СЭБ — система электронного банкинга

ТБР — типичный банковский риск

ТЭБ — технология электронного банкинга

ТЭО — технико-экономическое обоснование

УБР — управление банковскими рисками

УРСИТ — универсальная рейтинговая система для информационных технологий

ФМ — финансовый мониторинг

ЭБР — элементарный банковский риск

Введение

Актуальность и проблематика электронного банкинга

Если вы не знаете как это делать, не делайте этого.

Б. К. С. Айенгар

Во всем мире кредитные организации сталкиваются с двумя принципиальными проблемами, которые им приходится решать при разработке и реализации своих стратегических и бизнес-планов, а именно:

— снижение себестоимости банковской деятельности;

— занятие лидирующих позиций на финансовых рынках.

Поскольку набор финансовых услуг, предоставляемых кредитными организациями, всегда строго регламентируется национальным банковским законодательством, а операционные нововведения быстро становятся общедоступными, получить конкурентные преимущества за счет варьирования состава, расширения или модернизации банковских услуг оказывается затруднительным. В публикациях, относящихся к вопросам современного финансового обслуживания, часто отмечается, например, что «компании, которые хотят выжить в современном мире, должны стремиться к использованию новых технологий для достижения конкурентных преимуществ»[1]. К тому же в условиях российского банковского законодательства, которое до сих пор остается в стадии становления, такие нововведения могут неожиданно выйти за границы так называемого «правового поля», а это чревато финансовыми потерями не только из-за их возможной нерентабельности (население в большинстве своем либо насторожено относится к нововведениям, либо не обладает необходимой компьютерной грамотностью), но также из-за возрастания уровня правового риска (непосредственного и опосредованного — через другие банковские риски). Поэтому в настоящее время кредитные организации в конкурентной борьбе на рынках предоставления финансовых услуг фактически вынуждены внедрять все новые банковские компьютерные (информационные) технологии, что в условиях функционирования российского банковского сектора практически всегда означает внедрение новых технологий дистанционного банковского обслуживания, или, иначе говоря, технологий «электронного банкинга», — этот англоязычный термин стал общепринятым. В итоге к концу первого десятилетия XXI в. это направление банковской деятельности включило уже около двух десятков вариантов такого предоставления банковских услуг, о чем свидетельствуют результаты первого сплошного анкетирования в этой области, проведенного Банком России[2]. Также к этому времени не осталось сомнений в том, что основной функцией кредитных организаций постепенно становится преимущественно дистанционное финансовое посредничество.

Следует сразу отметить то, что в собственно банковскую деятельность кредитных организаций в ее операционном понимании электронный банкинг изначально ничего нового не внес. Однако в том, что касается способов и условий осуществления этой деятельности, особенно в части организации реализующих и обеспечивающих ее технологических процессов (внутрибанковских и внешних), их аппаратно-программного обеспечения (как самих кредитных организаций, так и их контрагентов), состава факторов и источников банковских рисков, а следовательно, содержания управления этими рисками, произошли радикальные изменения. Изучению этих изменений и подходам к их учету руководства кредитных организаций при определении им содержания и реализации внутрибанковских процессов (прежде всего управления банковскими рисками), составляющих их процедур и функций, а также взаимосвязей между ними в условиях применения электронного банкинга, посвящена эта книга.

Одно из главных отличий применения кредитными организациями технологий рассматриваемого типа от традиционных подходов к организации банковского обслуживания клиентов заключается в том, что клиенты, которые переходят к использованию таких технологий, после заключения ими договора банковского счета с кредитной организацией, дополнительного соглашения к этому договору о дистанционном банковском обслуживании и получения средств удаленного доступа к ее информационно-процессинговым ресурсам могут уже не являться в ее головной или дополнительный офисы (филиалы) для того, чтобы получить какую-либо банковскую информацию, или за выполнением требуемых им банковских операций, а работать в условиях, так сказать, «домашнего банка». По сути, удаленно взаимодействующие с кредитной организацией клиенты «превращаются» в своего рода разновидности банковских операционистов. Такие возможности для них создают новые банковские автоматизированные системы, реализующие технологии электронного банкинга, предлагая реальным и потенциальным клиентам кредитных организаций нетрадиционные варианты и возможности их внеофисного обслуживания или предоставления банковских услуг.

Обеспечиваемые при этом пользователям систем электронного банкинга удобства и гибкость получения ими банковских услуг привели к широкому распространению во всем мире таких технологий, как мобильные платежи и мобильный банкинги, естественно, российский банковский сектор не является исключением. Напротив, за последние несколько лет наблюдается «бум» внедрения технологий такого рода отечественными кредитными организациями, причем развитие их непосредственно следует за достижениями в области технологий компьютерной связи, — так появились, к примеру, системы Wi-Fi-банкинга. Фактически ни одно из подобных технологических и технических достижений современности не остается без внимания банковского сообщества, что не удивительно, учитывая обострение борьбы за клиентуру и рынки сбыта финансовых продуктов. Вместе с тем следует отметить, что большинство кредитных организаций не ограничивается лишь одним каналом дистанционного банковского обслуживания, наращивая «технологические мышцы» и вводя в эксплуатацию одну систему такого рода за другой.

Типичными примерами, судя по результатам анкетирования Банка России, уже стали кредитные организации, предлагающие по 3–4 варианта этих систем для юридических и физических лиц, для клиентов, предпочитающих мобильный банкинг или предоставление банковских услуг через Интернет (так называемый «интернет-банкинг»), для пользователей «наладонных» компьютеров, коммуникаторов или PDA[3] (для которых организуются также специальные web-сайты) и т. п. Использование разнообразных телекоммуникационных сетей и систем вызвало к жизни управляемые через сеть Интернет (далее — Сеть) банкоматы, разнообразные системы мобильного (WAP-, SMS-, GSM-, GPRS-) и Wi-Fi-банкинга, POS-терминалы[4], и процесс этот, судя по всему, не прекратится до тех пор, пока существуют кредитные организации, конкуренция в банковской сфере, да и так называемый «научно-технический прогресс».

В то же время на мощной волне использования в банковской деятельности достижений в областях компьютерных и телекоммуникационных технологий существенно меняются способы и условия осуществления банковской деятельности. Речь, конечно, не идет о том, что применение таких технологий изменяет сущность банковской деятельности: в конце концов под электронным банкингом понимается не более чем некий новый «транспорт», обеспечивающий доступ клиента к вполне традиционным банковским продуктам и услугам, однако особенности этого транспорта таковы, что меняется характер банковского обслуживания, а отчасти и его содержание. То и другое в свою очередь существенно изменяет состав факторов и источников рисков, связанных с банковской деятельностью, из-за чего происходит смещение профилей риска кредитных организаций.

Необходимо отметить, что как отечественные, так и некоторые зарубежные кредитные организации, даже крупные, нередко демонстрируют недостаточное осознание этих изменений, придерживаясь своего рода «традиционных подходов» к пониманию содержания банковской деятельности, не замечая при этом, что времена уже наступили другие, а вместе с ними изменилось и само содержание. Этому, по-видимому, способствует и достаточно консервативный характер банковского сообщества в целом, в котором традиционно считается, что для высшего руководства кредитных организаций квалификация в области информационных технологий является лишь факультативной. Кстати сказать, во многих случаях отсутствие или неполнота осознания «нового времени» фактически закреплены в законодательстве, регламентирующем банковскую деятельность, и российское банковское (и в широком смысле финансовое) законодательство в этом смысле также не является исключением.

В российских условиях наиболее близким примером является, естественно, Федеральный закон от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности». В его содержании отсутствует то, о чем сказано в его названии, а именно — в нем нет определения банковской деятельности как таковой. Вместо этого в ст. 5 перечислены «банковские операции и другие сделки», к которым фактически сведено понятие «деятельности», т. е. изначально неясно, что именно следует понимать под банковской деятельностью. Можно заметить, что с содержательной точки зрения все кредитные организации (или хотя бы те, которые определяются как универсальные) выполняют примерно одни и те же операции и предоставляют сходные банковские услуги, однако способы осуществления и результаты их банковской деятельности могут оказаться принципиально различными (вплоть до отзыва лицензии на это осуществление). Таким образом, дело заключается не столько в операциях, сколько в способах и условиях их совершения, которые определяет руководство кредитной организации, и применение технологий электронного банкинга это подчеркивает (в основном именно за счет смещения профилей риска кредитных организаций).

Указанное недоразумение, на первый взгляд не очень важное, на практике приводило и приводит к возникновению немалого количества новых источников банковских рисков, которые традиционно с этой деятельностью не связывались, — в сфере технологий электронного банкинга это проявляется наиболее наглядно. Внедрение систем электронного банкинга всегда приводит к такому не всегда заметному смещению профилей рисков кредитных организаций, к чему многие из них на практике оказываются не готовы. Ситуация усугубляется еще и тем, что зачастую банковская деятельность (в широком смысле, как будет показано ниже) оказывается зависимой от сторонних компаний — провайдеров, о компьютерных и телекоммуникационных системах которых специалисты кредитных организаций могут не иметь необходимых для их надежного функционирования сведений. Следствием этого становятся крупные потери кредитных организаций и их клиентов из-за компьютерных мошенничеств и хищений, сетевых и вирусных атак, ошибок и инцидентов информационной безопасности, нарушений законодательства и других негативных явлений.

Кроме того, коль скоро банковская деятельность во многом уходит в «виртуальное киберпространство», могут обостриться и все аналогичные проблемы с инсайдерами кредитной организации, которые лучше всех информированы об особенностях функционирования ее автоматизированных систем. Поэтому разработка подходов к обеспечению надежной банковской деятельности в условиях применения кредитными организациями технологий электронного банкинга стала весьма актуальной, о чем также говорит эта книга.

Фактически системы электронного банкинга появились в российском банковском секторе довольно давно, еще в начале 90-х гг. прошлого века, только назывались они тогда системами «Банк — Клиент» и не имели разновидностей[5]. Практически во всех случаях это были системы с так называемым «толстым клиентом», под которым понималось некое автоматизированное рабочее место с установленным на нем специализированным программным обеспечением для доступа к информационно-процессинговым ресурсам кредитной организации, служебными базами данных, средствами криптозащиты трафика, ограничения физического и логического доступа и т. д. Вопросы относительно банковских рисков, связанных с такими системами, как правило, не поднимались, поскольку все рисковые компоненты оставались на стороне клиента (естественно, юридического лица), и вообще в то время эти темы не обсуждались, потому что случаев несанкционированного доступа к упомянутым ресурсам было довольно мало.

За почти два прошедших десятилетия ситуация изменилась кардинальным образом и прежде всего потому, что акценты в финансовом обслуживании стали смещаться в сторону клиентов — физических лиц. Вследствие этого актуальны стали уже системы дистанционного банковского обслуживания с так называемым «тонким клиентом» — в предельном варианте, в случае банковского обслуживания через Интернет, — это обычный интернет-браузер типа Microsoft Explorer, Netscape Navigator, Mozilla, Opera и пр., через который можно получить доступ к диалоговым средствам интерфейса с процессингом кредитной организации. Одновременно возникли факторы риска, связанные с трафиком через не только локальные, но также зональные и глобальные сетевые структуры. Однако их наличие не остановило кредитные организации, стремящиеся за счет увеличения масштабов и количества вариантов дистанционного предоставления банковских услуг охватить как можно большее число клиентов, ценящих оперативность и удобство банковского обслуживания.

Как показывает изучение предложений компаний — разработчиков банковского программного обеспечения, в настоящее время в области удаленного автоматизированного (компьютеризованного) банковского обслуживания наблюдаются следующие четыре тенденции:

1) агрегация требований клиентуры кредитных организаций, их самих и корпоративных структур;

2) сочетание возможностей корпоративного и розничного банковского обслуживания;

3) создание корпоративных систем и модульная технология «Plug-and-Play»;

4) комбинация в системах дистанционного банковского обслуживания возможностей «толстого» и «тонкого» клиента.

Вместе с тем предлагаются варианты централизованного, распределенного и комбинированного построения систем дистанционного банковского обслуживания на основе локальных и зональных вычислительных сетей.

Можно отметить, что уже несколько лет российский банковский сектор основной акцент делает на внедрении и развитии многоканального дистанционного банковского обслуживания с интеграцией разнородных информационных технологий, при этом стараясь повысить эффективность способов и средств выполнения банковских операций и сделок, а также снизить уровни банковских рисков. Последнее, к сожалению, удается далеко не всегда, поскольку встречается немало примеров внедрения кредитными организациями недостаточно апробированных и защищенных компьютерных технологий (в широком смысле), несоответствия условий, в которых применяются технологии электронного банкинга, принципам обеспечения надежной банковской деятельности. Разного рода «деклассированные элементы» отечественного социума также быстро обучаются использованию систем электронного банкинга в противоправных целях, из-за чего достаточно серьезные финансовые потери несут и сами кредитные организации, и их клиенты. За последние три года число таких случаев выросло в несколько раз, так что суммарные финансовые потери российских кредитных организаций (и их клиентов) оцениваются уже десятками и сотнями миллионов рублей.

Такие потери свидетельствуют как о недопустимо высоких уровнях банковских рисков, принимаемых на себя кредитными организациями в процессе развития и увеличения масштабов дистанционного банковского обслуживания, так и об «эффективной» реализации источников этих рисков в отсутствие пруденциальных условий применения новых банковских информационных технологий. Это в свою очередь обусловлено наличием значительного количества недостатков в организации их применения в целом и использования конкретных систем электронного банкинга, причем как самими кредитными организациями, так и их клиентами. Ответственность за это лежит на руководстве и персонале кредитных организаций (а не на клиентах, как часто считается), поскольку и банковские автоматизированные системы, и клиенты, и контрагенты относятся к их так называемым «зонам ответственности». На самом деле ничего сверхъестественного в смысле организации надежных условий использования любых технологий дистанционного банковского обслуживания нет. Дело вовсе не в технологиях как таковых, или в банковских автоматизированных системах, или их локальных либо зональных вычислительных сетях и т. п., а в том, в каких целях и как именно все эти системы применяются. Определение же условий применения этих средств является прерогативой в первую очередь руководства высокотехнологичных кредитных организации, их исполнительных органов и менеджмента на разных уровнях внутрибанковской иерархии, вследствие чего в подавляющем большинстве случаев проблемы, возникающие у кредитных организаций в рассматриваемой предметной области, непосредственно увязываются с такими недостатками в их корпоративном управлении, что оно и корпоративным-то может считаться только с серьезной натяжкой.

Происходит это потому, что специфика новых банковских информационных технологий и их значимость для современной кредитной организации и ее клиентов недостаточно оцениваются и осознаются ее руководителями (исполнительными органами). При этом специфика применения соответствующих банковских автоматизированных систем должна в оптимальном варианте прямо отражаться в специальных условиях, в которых они применяются и которые организуются исходя из требований снижения влияния сопутствующих их особенностям угроз надежной банковской деятельности, т. е. уровней рисков. По многочисленным наблюдениям и публикациям в средствах массовой информации управление банковскими рисками в отечественных кредитных организациях оставляло и до сих пор оставляет желать лучшего, и особенно это относится к управлению такими рисками, уровни которых непосредственно зависят от, так сказать, «степени пруденциальности» условий применения новых банковских информационных технологий. Как ни странно, многочисленные случаи реализации этих рисков именно по технологическим и техническим причинам редко приводят к улучшению корпоративного управления.

Очевидно, что традиционная интерпретация банковской деятельности как только лишь совершения банковских операций не только устарела, но принципиально неприемлема, т. е. вместе с внедрением кредитными организациями новых банковских информационных технологий, видов и способов предоставления банковских услуг требуется «новое мышление» их руководства и осознание влияния изменения способов и условий банковской деятельности на ее содержание и характеристики. Специфическими особенностями современного банковского обслуживания стали именно способы дистанционного информационного взаимодействия между кредитными организациями и их клиентами в информационном контуре банковской деятельности, который создается новыми технологиями. Это новое явление и новое понятие, вошедшие в банковскую деятельность, и одним из важнейших следствий этого стала необходимость изменения подходов к корпоративному управлению в кредитных организациях, а именно адаптации его к тем технологиям и системам электронного банкинга, которые внедряют эти организации, — тоже как следствие корпоративных решений о переходе к дистанционному банковскому обслуживанию. Вместе с тем принципиально важной становится и оценка обеспеченности кредитной организации ресурсами, необходимыми для надежного банковского обслуживания в этом контуре: оборудованием, персоналом, квалификацией и т. д.

В первую очередь важно осознание высшими руководителями и менеджерами, входящими в исполнительные органы кредитных организаций, того, что реализация всех технологий электронного банкинга базируется на распределенных компьютерных системах. Это в свою очередь приводит к тому, что зоны ответственности кредитной организации существенно расширяются и даже такие традиционные из них, как клиентская или внутрисистемная, радикально видоизменяются (в плане содержания указанной ответственности). Современные универсальные протоколы сетевого взаимодействия и организация телекоммуникационных сетей по так называемому «принципу открытых систем» приводят к возникновению новых факторов, обусловливающих возникновение нетипичных (и непривычных) источников компонентов банковских рисков. В настоящее время нет необходимости в пропагандировании мультикомпонентности, комплексного характера типичных банковских рисков[6], однако в отечественных кредитных организациях традиционно принято уделять содержанию процесса управления банковскими рисками лишь формальное внимание, что в условиях применения технологий электронного банкинга означает гарантированное наличие непредвиденных и некомпенсируемых рисковых компонентов.

Поэтому, исходя из значимости новых факторов и источников банковских рисков, возникающих в указанных условиях, основная часть этой книги начинается именно с рассмотрения явления информационного контура банковской деятельности при электронном банкинге и обусловленных этим факторов риска системного характера, наличие которых целесообразно учитывать в интересах обеспечения надежности этой деятельности. Изложение ведется во многом с использованием материалов Базельского комитета по банковскому надзору и органов банковского регулирования и надзора США, поскольку они наиболее полно характеризуют рисковую обстановку в условиях применения технологий электронного банкинга. С учетом условий российского банковского сектора, в котором действует ряд специфических ограничений, выделяются и анализируются с аналогичных позиций лишь несколько типичных банковских рисков. Главный проблемный вопрос для кредитных организаций при принятии решений относительно применения тех или иных технологий заключается в убеждении, что получаемые от этого выгоды заведомо будут больше, чем возможные потери из-за затрат на внедрение и эксплуатацию банковских автоматизированных систем, реализующих такие технологии, и на компенсацию реализации компонентов банковских рисков, связанных с ведением бизнеса в «киберпространстве».

Речь не случайно идет об использовании риск-ориентированного подхода при анализе проблем, сопутствующих внедрению технологий электронного банкинга. Необходимо подчеркнуть, что в современных российских условиях с почти полным отсутствием законодательных и других нормативных актов, относящихся к области так называемых «электронных финансов» или, как иногда говорят, «предоставления финансовых услуг в электронной форме», пустота этого сегмента правового поля оказывает крайне негативное влияние на обеспечение надежности банковской деятельности, практически полностью зависящей от функционирования банковских автоматизированных систем и условий их использования прежде всего из-за отсутствия соответствующих точно определенных и установленных ориентиров. Из-за этого и наибольшая часть практических решений оказывается прерогативой вовсе не высшего руководства кредитных организаций, а менеджмента среднего звена, а то и просто персонала исполнительского уровня (что будет показано при рассмотрении процессного подхода). В рамках же риск-ориентированного подхода акцент делается на выявлении и устранении или, как минимум, ослаблении потенциального влияния источников компонентов банковских рисков (или хотя бы его хеджировании), а значит, и повышении этой надежности в корпоративном плане.

Риск-ориентированный подход весьма эффективен именно в приложении к анализу информационного контура банковской деятельности и вообще автоматизации внутрибанковских процессов в силу своей универсальности: он служит защите кредитных организаций и их клиентов от любых угроз их интересам или негативных явлений независимо от степени развития законодательной базы банковской деятельности. Очевидно, что все нюансы технологического и технического обеспечения этой деятельности никакими нормативными правовыми актами предусмотреть невозможно в силу того, что оно изначально не может регламентироваться в соответствии с действующим банковским законодательством. Из-за этого оказывается невозможно зафиксировать упомянутые ориентиры ни на федеральном, ни на отраслевом или ведомственном уровне. Впрочем, зарубежный опыт банковского регулирования и надзора показывает, что в этом нет необходимости (если, конечно, имеется развитая законодательная база, содержащая описания как порядка, так и характеристик банковской деятельности). Но тогда единственным вариантом содействия обеспечению надежности высокотехнологичных кредитных организаций остается разработка рекомендаций, основанных на здравом смысле, с указанием тех недостатков (не нарушений!), о которых лучше знать заранее и которые целесообразно устранять (лучше же — не допускать их появления), чтобы надежность банковской деятельности не снижалась независимо от того, какие именно автоматизированные системы внедряет кредитная организация. Здесь имеется в виду, что риск-ориентированный подход вполне был бы пригоден даже в условиях полного отсутствия (если можно такое представить) регламентации банковской деятельности со стороны государства (из состава банковских рисков исчез бы лишь правовой риск) для выработки рекомендаций по повышению ее технологической надежности.

Далее акцент делается на уже достаточно широко известном у нас так называемом процессном подходе, использование которого оказывается весьма желательным именно при переходе кредитной организации к дистанционному банковскому обслуживанию и его дальнейшем развитии. Как правило, такие организации, внедрившие и апробировавшие один из вариантов электронного банкинга, на достигнутом не останавливаются (к этому их подталкивает и конкуренция) и продолжают развивать это направление банковской деятельности, расширяя спектр предоставляемых клиентам сервисов и внедряя новые банковские информационные технологии и автоматизированные системы. Вследствие этого, помимо жизненного цикла таких систем, оказывается целесообразным говорить и о жизненном цикле внутрибанковских процессов. К сожалению, как свидетельствует опыт изучения деятельности российских кредитных организаций, такой подход все еще остается делом будущего (хотя автор обоснованно является его убежденным сторонником).

В свою очередь реализация такого подхода в новых условиях банковской деятельности, сущность которых определяется теми информационными технологиями, которые внедряет кредитная организация, невозможна без пересмотра организации и содержания прежде всего общих внутрибанковских процессов управления и контроля, которые в таких организациях приобретают заметную специфику. Особенности корпоративного управления в условиях применения технологий электронного банкинга заключаются в его четкой ориентации, во-первых, на учет особенностей самих технологий такого рода, реализующих их автоматизированных систем и информационного контура банковской деятельности, во-вторых, на обеспечение соответствия их применения принципам или стандартам «пруденциальной» банковской деятельности (хотя в российском банковском секторе подобная терминология пока не является общепринятой) и, в-третьих, на своевременную и адекватную адаптацию внутрибанковских процессов при внедрении и развитии дистанционного банковского обслуживания. Принципиально важным здесь является то, что, какими бы ни были технологические нововведения в обеспечении банковской деятельности, они не должны негативно влиять на выполнение кредитными организациями своих обязательств перед клиентами (имея в виду защиту их интересов) и контролирующими банковскую деятельность государственными органами. Кроме того, в современных условиях повышается важность обеспечения предоставления последним полной, своевременной и адекватной информации о банковской деятельности в целом и об операциях, совершаемых кредитными организациями по ордерам удаленных клиентов.

Отдельная глава посвящена специфической проблематике управления web-отношениями кредитной организации — актуальная тема в условиях использования представительств в Сети подавляющим большинством отечественных кредитных организаций. Несмотря на то что, к примеру, технология интернет-банкинга используется в российском банковском секторе уже достаточно давно (с 1997–1998 гг.), вопросам риск-ориентированного анализа отношений, возникающих в Сети между разными агентами сетевого и информационного взаимодействия, внимания в литературе до последнего времени не уделялось. Однако исследования, проводимые зарубежными органами банковского регулирования и надзора, свидетельствуют о наличии ряда достаточно «тонких» аспектов такого взаимодействия, за которыми в отсутствие их учета также скрываются источники компонентов банковских рисков, так как само наличие web-отношений оказывается своеобразным фактором риска как для кредитной организации, так и для ее клиентов. Обусловлено это преимущественно спецификой проявления виртуальных эффектов Сети как открытой информационной системы.

Главное же заключается в осознании необходимости модернизации ряда действующих внутрибанковских процессов, имеющих непосредственное отношение к дистанционному банковскому обслуживанию с учетом особенностей упоминавшихся новых условий банковской деятельности, а также формирования новых процессов (например, управления отношениями с провайдерами, web-отношениями и т. п.). Такое осознание логично связывается с разработкой своего рода новой идеологии управления и контроля, которая инициируется советом директоров кредитной организации, а затем реализуется ее исполнительными органами и менеджерами разных уровней. В связи с этим в изложении введено понятие внутрибанковского «мета-процесса», управляющего циклической адаптацией отдельных процессов, которая сама определяется темпом нововведений по направлениям применения компьютерных информационных технологий. Отсутствие соответствующего «руководящего подхода» к внедрению новых средств компьютеризации банковской деятельности вместо ожидаемых выгод может стать причиной непредсказуемого возникновения и реализации источников компонентов банковских рисков. В ситуации, когда банковская деятельность сама стала во многом информационной дисциплиной, такие компоненты могут оказаться весьма существенными и для кредитной организации, и для ее клиентов. Поэтому наиболее важным аспектом адаптации оказывается обеспечение сохранения управляемости и контролируемости банковской деятельности, переходящей при электронном банкинге в виртуальное пространство.

Содержание этой книги опирается на материалы зарубежных и международных органов банковского регулирования и надзора (в том числе представленных на ряде международных семинаров по тематике электронного банкинга), мнения зарубежных специалистов по вопросам обеспечения надежности высокотехнологичной банковской деятельности, опыт изучения организации применения технологий электронного банкинга отечественными кредитными организациями и зарубежными коммерческими банками, а также их дочерними банками, работающими на территории России. Несмотря на то что кредитных организаций, полностью свободных от недостатков, пока не выявлено (это не означает, что их не существует, — просто любой человеческий опыт имеет вполне понятные ограничения!), что и неудивительно, учитывая сложность и относительную новизну рассматриваемой тематики, все-таки результаты изучения зарубежного опыта свидетельствуют о желательности следования ему в отечественном банковском секторе, поскольку даже в отсутствие должным образом развитого финансового и, в частности, банковского законодательства использование так называемой «лучшей практики»[7] способно существенно снизить уровень ряда типичных банковских рисков (имея в виду те риски, уровни которых прямо зависят от банковских информационных технологий и реализующих их внутрибанковских процессов, процедур и автоматизированных систем).

Базельский комитет по банковскому надзору уделяет в ряде своих публикаций серьезное внимание вопросам управления рисками в условиях применения технологий электронного банкинга и корпоративному управлению в кредитных организациях. Следование его рекомендациям позволяет повысить надежность банковской деятельности в целом за счет снижения уровней рисков, которым подвергаются кредитные организации и их клиенты, а значит, обеспечить лучшую защиту их интересов.

Глава 1

Понятие и специфика технологий электронного банкинга

Любая достаточно развитая технология неотличима от магии.

Артур Кларк

Независимо от того, какого рода система дистанционного банковского обслуживания (ДБО) внедряется кредитной организацией, такая система фактически становится для нее своеобразными «виртуальными воротами», которые открывают доступ из «киберпространства» локального, зонального или глобального сетевого взаимодействия к информационно-процессинговым ресурсам и информационным а по сути, — к финансовым активам этой организации. Надежность банковской деятельности, которая осуществляется через такое пространство, непосредственно зависит от того, насколько организация способна управлять происходящими в нем и значимыми для нее (и ее клиентов) процессами и контролировать их течение. Очевидно, что специфика такой деятельности изначально находится в противоречии между обеспечением доступа к упомянутым ресурсам только и исключительно для легитимных пользователей (официально зарегистрированных клиентов, операторов, операционистов и т. п.), действующих в пределах точно установленных для них прав и полномочий, и технологиями, предполагающими реализацию принципов открытых систем и универсальных протоколов сетевого взаимодействия, составляющих базис большинства вариантов ДБО. Если руководство кредитной организации, внедряющей систему электронного банкинга (СЭБ), недостаточно полно представляет себе особенности проблематики ДБО с точки зрения вариативности состава компонентов типичных банковских рисков, принимаемых на себя кредитной организацией, то уровни этих рисков будут заведомо (и неоправданно) повышаться, а сами эти компоненты — реализоваться, что всегда приводит к финансовым потерям.

До настоящего времени в российском банковском секторе внедрение и применение банковских информационных технологий в целом не считается чем-то значимым с точки зрения изменения характера банковской деятельности. В подавляющем большинстве кредитных организаций этот процесс не предваряется и не сопровождается адекватным анализом состава сопутствующих таким технологиям компонентов банковских рисков. Из-за этого как сами кредитные организации, так и их клиенты оказываются подвержены новым специфическим угрозам надежности банковской деятельности. С этими угрозами кредитные организации далеко не всегда справляются, о чем свидетельствует, к сожалению, уже достаточно обширная статистика финансовых потерь этих организаций и их клиентов. При этом собственно технологический аспект оказывается в значительной степени «вторичным»: к примеру, не столь важно, каким именно путем похищаются финансовые средства — с помощью банкоматного мошенничества, через систему интернет-банкинга, за счет применения какого-то варианта фишинга, фарминга или вишинга и т. п., — важно то, что деньги исчезают именно в информационном контуре ДБО по причинам недостаточно полного учета новых факторов источников типичных банковских рисков и управления ими в кредитной организации.

Вследствие этого рассматриваемая ниже классификация технологий или вариантов ДБО может варьироваться без ущерба для общности рассмотрения этой предметной области. Она введена в основном для того, чтобы можно было выделить те особенности каналов и сред информационного взаимодействия между кредитными организациями и их клиентами, которые желательно учитывать в случаях комплексного внедрения соответствующих систем ДБО. В настоящее время компании, разрабатывающие системы такого рода, или кредитные организации, осуществляющие их самостоятельные разработки, все больше стремятся к многоканальности предоставления банковских услуг, объединяющей его варианты. Вместе с тем это, как правило, не приводит к организации комплексного анализа всей совокупности источников банковских рисков, сопутствующих каждому из каналов ДБО, а следовательно, новые источники рисков остаются «скрытыми» для кредитной организации, так что воздействие на них (т. е. собственно управление рисками) начинается нередко лишь тогда, когда они реализуются в виде финансового ущерба.

1.1. Классификация технологий электронного банкинга

На сегодняшний день единой, устоявшейся классификации технологий электронного банкинга еще не существует. Поскольку любые технологии такого рода используются для обеспечения удаленного информационного взаимодействия между кредитными организациями и их клиентами, с наиболее общей точки зрения можно полагать, что все они в совокупности охватываются одним общим понятием систем типа (или класса) «Банк — Клиент». В тоже время исторически сложившиеся этапы развития способов и средств этого взаимодействия привели к тому, что под системами «Банк — Клиент» до настоящего времени понимаются преимущественно такие программно-технические комплексы, для функционирования которых на стороне клиента необходимо создание специализированного автоматизированного рабочего места (АРМ) на базе персонального компьютера, установка на нем специализированного программно-информационного обеспечения ДБО, задействование тех или иных выделенных каналов связи (на основе кабельных или релейных линий), а также введение на стороне кредитной организации шлюзов для передачи потоков данных (модемных пулов, маршрутизаторов, коммутаторов и т. п.).

Такие достаточно «тяжеловесные» и дорогостоящие системы получили условное название систем «с толстым клиентом»[8]. Эти системы характеризуются достаточно обширными функциональными возможностями в части ограничения прав доступа к информационно-процессинговым ресурсам клиента и кредитной организации, использования служебных баз данных и баз нормативно-справочной информации, криптозащиты сетевого трафика, а также сохранения так называемой «сеансовой информации», сопровождающей двусторонний информационный обмен (что принципиально важно для обеспечения юридической силы так называемых «электронных документов», парирования случаев «отказа от операций», разрешения спорных ситуаций и т. п.). За все эти возможности приходится, естественно, немало платить, что могут себе позволить в основном юридические лица.

В отличие от этих систем для обслуживания физических лиц гораздо удобнее и дешевле системы с так называемым «тонким клиентом», использование которых не связано с необходимостью установки на АРМ клиента специального программно-информационного обеспечения, да и само стационарное АРМ на его стороне зачастую не требуется. В наиболее «тонком» случае могут использоваться обычный браузер или система меню, что типично для технологий мобильного и интернет — банкинга. Однако в этих случаях осложняется решение всех перечисленных выше вопросов с точки зрения функциональных возможностей той или иной технологии электронного банкинга (ТЭБ) и реализующей эту технологию СЭБ. Эта книга преимущественно посвящена тому чем приходится «платить» кредитным организациям и их клиентам за удобства оперативного доступа к информационно-процессинговым ресурсам, обеспечивающим банковскую деятельность.

Вместе с тем каждый из способов ДБО и каждая используемая для его реализации банковская автоматизированная система (БАС) могут иметь ряд принципиальных отличий (прежде всего в части каналов связи и среды взаимодействия), равно как и множество особенностей, из-за чего объединение их в один класс существенно затрудняет анализ состава компонентов банковских рисков, угроз банковской деятельности, лежащих в их основе, и причин возникновения этих угроз. Для такого анализа наиболее удобна простая классификационная схема, используемая специалистами Департамента банковского надзора Банка Германии (рис. 1.1)[9]:

На этой схеме отсутствует деление отдельных «ветвей», учитывающее специфические детали, свойственные различным технологиям электронного банкинга, поскольку для последующего изложения это не принципиально, к тому же такие варианты ДБО, как использование, скажем, систем Wi-Fi, в отечественной банковской практике еще не стали распространенными. Кроме того, не имеет принципиального значения и конкретный вариант ДБО, выбираемый кредитной организацией: важно лишь то, что «если компания не следует тенденциям изменяющихся рыночных, финансовых и технологических условий, то она недолго останется в бизнесе»[10]. В современном банковском бизнесе кредитные организации, если они не хотят потерять конкурентные преимущества, по существу, «вынуждены» переходить к дистанционному предоставлению банковских услуг, а следовательно, «радикально перестраивать» организацию своей банковской деятельности. В этой ситуации принципиально важным становится то, что речь идет именно о деятельности кредитной организации в целом, а не только о выполнении «банковских операций» и «других сделок».

Необходимо отметить также, что адекватного понимания содержания электронного банкинга до настоящего времени тоже еще не сложилось. Об этом свидетельствуют многие документы, разработанные зарубежными органами банковского регулирования и надзора, в которых приводятся определения содержания этого явления и формируется рабочий понятийный аппарат. Если попробовать сформулировать своего рода «базовое» определение электронного банкинга по таким материалам[11], то оно будет выглядеть следующим образом: «обеспечение возможностей для клиентов кредитных организаций получать удаленный доступ к своим банковским счетам через информационно-телекоммуникационные системы и, как минимум, осуществлять переводы финансовых средств между ними».

В этом определении можно увидеть своего рода «операционный» акцент, появление которого объясняется исторически сформировавшимся «примитивным» подходом к интерпретации содержания банковской деятельности и который существенно сужает подмножество факторов, обусловливающих возникновение новых источников компонентов банковских рисков, подлежащих учету и анализу в кредитной организации при переходе ее к ДБО. На самом деле при выборе той или иной ТЭБ руководству, исполнительным органам и специалистам кредитной организации всегда следовало бы анализировать особенности этой технологии с целью выявления и описания сопутствующих ей факторов риска, а также оценивать свои возможности в части управления конкретной ТЭБ и контроля ее использования с учетом специфики формируемого ею так называемого «информационного контура банковской деятельности» — нового явления в сфере банковской деятельности.

Функционирование современной кредитной организации отличается в первую очередь тем, что традиционный подход к анализу содержания банковской деятельности оказывается принципиально непригодным: он приводит к тому, что большое количество новых, нетипичных для традиционной банковской деятельности источников компонентов банковских рисков упускается из вида со всеми вытекающими отсюда негативными последствиями для кредитных организаций и их клиентов. Те и другие в такой ситуации оказываются незащищенными от новых угроз, которые вполне можно парировать при пруденциальной[12] организации этой деятельности в новых технологических условиях. Помимо этого, конкурентные условия могут способствовать и тому, что окажутся внедренными недостаточно надежные, проверенные и «отработанные» технологии электронного банкинга и реализующие их банковские автоматизированные системы из-за того, что сложность таких систем не согласуется с интервалом времени, выделяемым на их освоение и запуск в эксплуатацию. Что уж говорить о том, что дополнительной и непростой особенностью организации применения практически любой ТЭБ оказывается необходимость учета недостаточной квалификации клиентов кредитной организации в областях компьютерных и телекоммуникационных технологий.

В итоге руководству кредитной организации, принимая решение о переходе к ДБО, необходимо заранее определить круг потенциальных проблем, с которыми может быть связано такое обслуживание, и новых вопросов, которые придется решать в целях обеспечения и поддержания надежности банковской деятельности (в широком смысле имея в виду выполнение всей совокупности принимаемых на себя этой организацией обязательств как перед клиентами, так и перед теми или иными контролирующими органами). Поэтому целесообразно добиваться наиболее полного охвата предметной и одновременно проблемной области новых способов и условий осуществления банковской деятельности. Прежде всего логично достичь полного осознания модификации ролевой функции кредитной организации, внедряющей ТЭБ, предложив, к примеру, такое определение электронного банкинга: «совокупность всех организационно-технических мероприятий, реализуемых кредитной организацией с помощью технологий дистанционного банковского обслуживания для обслуживания своих клиентов (реальных и потенциальных) при выполнении этой организацией функций дистанционного финансового посредника».

В этом случае речь не идет о создании исчерпывающего понятийного аппарата высокотехнологичной банковской деятельности, тем более что в наше время «технический прогресс» продолжает видоизменять банковскую деятельность. Просто необходимо подчеркнуть, что собственно появление «дистанционности» действительно радикально меняет характер банковской деятельности. До сих пор руководство многих кредитных организаций не осознает этих изменений, так что принятие мер по приведению организации внутрибанковских процессов и составляющих их процедур (вплоть до отдельных функций) в соответствие с новыми способами и условиями банковской деятельности, формируемыми такими технологиями, начинается только после того, как новые, нетипичные (и неосознававшиеся до последнего времени) угрозы ее надежности реализуются, а сами эти организации и их клиенты потеряют немалые денежные средства.

В то же время адекватный превентивный анализ состава компонентов типичных банковских рисков, действующих в условиях применения технологий и систем электронного банкинга, гарантировано позволяет избежать неприятностей такого рода за счет заблаговременного внесения изменений во внутрибанковские процессы и процедуры, с ориентацией их на выявление, учет (мониторинг, анализ) и парирование потенциальных угроз надежности банковской деятельности. Но для этого в высокотехнологичной кредитной организации неизбежно должны произойти изменения в содержании корпоративного управления, причем каждая процедура в составе этого процесса оказывается «привязана» к особенностям вновь образуемых зон концентрации источников компонентов банковских рисков и одновременно зон ответственности кредитной организации. Эти понятия также не являются новыми, однако в условиях применения технологий электронного банкинга они приобретают новую актуальность и содержательно заметно усложняются.

1.2. Информационный контур банковской деятельности и новые факторы банковских рисков

Внедрение технологий ДБО привело к образованию принципиально нового явления в банковской деятельности, которое можно определить понятием «информационный контур банковской деятельности» (ИКБД)[13]. В общем случае если бы о возникновении, специфике функционирования и особенностях проявления этого контура заблаговременно задумывались в каждой кредитной организации, переходящей к ДБО, то тематика анализа банковских рисков, сопутствующих внедрению новых технологий такого рода, быстро себя исчерпала бы. Как раз этого и не происходит прежде всего в силу новизны технологий как таковых и неразвитости законодательной базы банковской деятельности. Впрочем, если все, что связано в кредитной организации с ДБО, делать правильно, то ничего страшного или неприятного, связанного с новыми банковскими технологиями, для нее не происходит.

Несколько упрощенная, но тем не менее достаточная для предварительного анализа схема ИКБД, предназначенная для обоснования концептуальных положений описываемого ниже подхода, приведена на рис. 1.2. На ней условно показаны две кредитные организации в «киберпространстве».

Прежде всего целесообразно обратить внимание на основные, своего рода «системные» факторы, обусловливающие возникновение новых источников компонентов банковских рисков, — таковых можно выделить как минимум три (о других, хотя и не новых, но также принципиально важных факторах риска, сопутствующих электронным банковским технологиям как таковым, будет сказано в следующей главе). Эти факторы в первую очередь логично учитывать при организации управления рисками.

Первый фактор заключается в возникновении для кредитной организации клиентов нового типа, которые зачастую фактически сами играют роли операционистов или близкие к ним. Очевидно, что вместе с переходом кредитной организации к ДБО, те. к такому варианту предоставления банковских услуг, когда в течение сеанса информационного взаимодействия клиент ей «не виден» и работает с ней «из-за горизонта», эта организация теряет своего рода «линию обороны» от клиента. Если в условиях традиционной организации банковской деятельности клиент должен взаимодействовать с операционным сотрудником, который не позволяет ему совершать ошибки при оформлении своих операций, создавать инциденты информационной безопасности, осуществлять противоправную деятельность и т. п., то в новых условиях предоставления банковских услуг клиенту ничто не может помешать этим заниматься. Столь же очевидно, что чем бóльшую свободу действий кредитная организация предоставит клиенту в рамках ДБО и чем менее жесткие условия обслуживания для него создаст, тем больше проблем такой клиент создаст самой кредитной организации, существенно усложнив для нее сначала создание доказательной базы электронного банкинга, а затем и претензионную работу, и разбор конфликтных ситуаций. Поэтому в содержании договоров с клиентами относительно ДБО (или дополнительных соглашений к договорам банковского счета) кредитной организации необходимо учитывать те особенности удаленного взаимодействия, которые при неблагоприятном стечении обстоятельств могут негативно сказаться на выполнении ею принимаемых на себя обязательств, но не по ее вине, а по вине клиента (который, кстати, далеко не всегда это осознает).

Справедливости ради надо отметить, что и сами клиенты, взаимодействующие с кредитными организациями с помощью различных систем электронного банкинга, также не защищены от воздействия рассматриваемого фактора риска — на этом эффекте основан целый ряд мошеннических технологий, упомянутых в начале этой главы, и вариантов их реализации. Результативность атак такого рода в последнее время привела к тому, что Банком России была начата разработка специальных тематических рекомендаций для кредитных организаций, которые ориентируют их на обеспечение дополнительной защиты интересов клиентов[14]. Имеется в виду, что в условиях применения этими организациями так называемых «высоких технологий» целесообразно вместе с внедрением той или иной ТЭБ формировать специальные процедуры, ориентированные на защиту интересов клиентов ДБО и учитывающие особенности конкретной технологии и реализующей ее СЭБ (прежде всего в плане отличия от уже освоенных банковских информационных технологий). Такие процедуры разрабатываются исходя из полного понимания высшим менеджментом кредитной организации специфики ТЭБ и соответствующих средств, применяемых для обеспечения ДБО, и архитектуры ее банковских автоматизированных систем.

Эти соображения становятся основанием для пересмотра формирования политики установления взаимоотношений кредитных организаций с клиентами по предоставлению им вариантов ДБО. При этом затрагивается достаточно много аспектов, начиная с содержания договоров на конкретный вид обслуживания и заканчивая пересмотром подходов к осуществлению финансового мониторинга (ФМ), имея в виду в первую очередь мероприятия, необходимые для парирования эффектов взаимной анонимности. В частности, в содержании договоров на ДБО становится необходимо предусматривать специальные соглашения и условия относительно использования средств так называемых аналогов собственноручной подписи, применение которых допускается Гражданским кодексом Российской Федерации (ГК РФ)[15], систем ДБО или, как иногда говорят иначе, — «электронного документооборота» и обеспечения юридической силы электронных документов, расследования спорных (конфликтных) ситуаций, включая создание тех или иных согласительных и технических комиссий, и т. п.

Что касается процесса ФМ, то Банк России со своей стороны уже неоднократно обращал внимание кредитных организаций на наличие таких эффектов и необходимость принятия специальных мер по учету их в процедурах, составляющих внутрибанковский процесс[16]. Сложность ситуации с разработкой документов такого рода обусловлена в первую очередь тем, что каждая кредитная организация, внедряющая какую-либо ТЭБ, даже если эта технология хорошо известна и апробирована в банковском секторе, уникальна в смысле архитектуры своих распределенных компьютерных систем, локальных или зональных вычислительных сетей (охватывающих ее филиалы или дополнительные офисы), квалификации персонала, состава провайдеров и т. д. Поэтому формирование детальных рекомендаций по организации и содержанию процесса ФМ в условиях ДБО (как, впрочем, и многих других внутрибанковских процессов) просто невозможно, а поэтому кредитные организации по существу оказываются вынуждены самостоятельно приспосабливать этот процесс (равно как и составляющие его процедуры) к своим информационным технологиям, специфическим (зачастую уникальным) архитектурам сетевых структур и каждого ИКБД в целом, особенностям построения их банковских автоматизированных систем и т. п., на что целесообразно обращать внимание их руководству.

Вместе с тем осознание необходимости пересмотра организации и содержания процесса ФМ становится в последние годы все более актуальным в связи с теми возможностями, которые высокие технологии, включая технологии электронного банкинга, могут предоставлять для разного рода противоправной деятельности: легализации доходов, полученных преступным путем (так называемого «отмывания денег»), финансирования терроризма, хищений денежных средств, мошенничеств и т. п. При этом необходимо иметь в виду, что незаметное вовлечение кредитной организации в противоправную деятельность может привести к лишению ее лицензии на выполнение банковских операций и судебному преследованию в соответствии с законом. Поэтому руководству кредитной организации целесообразно четко осознавать возможные направления смещения уровней банковских рисков в условиях ДБО, поскольку в случае реализации компонентов правового риска такого рода оценки принимаемого ею кредитного, рыночного и других рисков теряют значение. Очевидно, что любая кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться заподозренной в участии в ускользнувшей от внимания ее сотрудников противоправной деятельности лишь из-за того, что ее высший менеджмент неадекватно представляет себе профиль риска, сопутствующий использованию новых банковских информационных технологий. Это в свою очередь вызывается тем, что условия для осуществления ДБО, которые само руководство и должно подготовить, оказываются неподходящими, почему важно помнить о необходимости создания специальных условий пруденциальной банковской деятельности в условиях ДБО, а специфика эта определяется применяемыми технологиями.

В то же время для клиента, пользующегося СЭБ для получения банковских услуг, особенно операционного характера, принципиально значимым системным фактором риска становится то, что в условиях ДБО он не имеет возможности непосредственного контроля над получением и выполнением кредитной организацией ордеров, отправляемых им через ИКБД[17]. Эта ситуация радикально отличается от непосредственного «физического» взаимодействия клиента с операционистом или кассовым работником кредитной организации — первым для него служит интерфейс с СЭБ или в более общем смысле системой типа «Банк — Клиент», вторым, в случае получения наличных денег, — банкомат, в случае платежа — POS-терминал или его аналог. При этом необходимо подчеркнуть, что никаких теоретических разработок относительно клиентских рисков до настоящего времени не существует, мало того, во всех публикациях по рассматриваемой тематике речь практически всегда идет только о рисках банковской деятельности, хотя сами эти риски зачастую непосредственно зависят от условий, в которые кредитная организация ставит клиента ДБО. Как будет показано ниже, условия эти должны быть максимально жесткими в смысле ограничения количества «степеней свободы», которыми может воспользоваться клиент ДБО во время сеанса связи.

По существу во время сеанса ДБО клиент полностью зависим от кредитной организации (функционирования ее автоматизированных систем) и от провайдеров, которые выполняют свои функции в ИКБД между ним и кредитной организацией. К сожалению, общая «культура» банковской деятельности в российском банковском секторе до последнего времени такова, что клиент ДБО в соответствии с договором, заключаемым им с кредитной организацией, и в силу недостаточной технической квалификации и отсутствия юридической подготовки не обладает почти никакими правами, тогда как обязанностей на него налагается немало (при этом многие клиенты вообще не читают тексты договоров на ДБО). В оптимальном варианте организации договорных отношений такого рода кредитным организациям следовало бы детально знакомить своих клиентов, использующих такое обслуживание, с угрозами, которым «подвергаются» их интересы во время сеансов информационного взаимодействия с ней, причем не «по доброте душевной», а имея в виду снижение для самой себя уровней потенциально возникающих компонентов банковских рисков, о чем уже говорилось, но это, по-видимому, дело будущего (если обратиться к материалам судебных исков последних лет).

Второй фактор системного характера состоит в том, что в процесс современной банковской деятельности в условиях ДБО оказываются вовлечены третьи стороны, которые ранее к ней отношения преимущественно не имели. К их числу относятся провайдеры кредитных организаций, обеспечивающие формирование и поддерживающие функционирование ИКБД в каждом отдельном случае. Конкретные виды, состав и функции провайдеров кредитной организации определяются тем, какая именно ТЭБ и в каких целях внедряется ею, какая СЭБ реализует эту технологию, а также какие среды передачи данных и каналы (линии) связи при этом задействуются (включая интернет-провайдеров, операторов мобильной связи, платежные системы и т. п.). Очевидно, что если в процессе удаленного информационного взаимодействия сеанс ДБО окажется прерван или подвергнется другому негативному воздействию не по причинам, возникшим в кредитной организации, а из-за проблем, имевших место на территории провайдера, то клиент этой организации, интересы которого пострадали вследствие такого прерывания, обратится с претензиями именно к ней, а не к неведомому ему провайдеру, тем более что в общем случае и сам клиент может находиться в произвольном месте земного шара, где доступно использование какого-либо средства компьютерной связи. Дальнейшие последствия для кредитной организации будут зависеть от того, какой конкретно ущерб был нанесен интересам клиента ДБО, особенно в тех ситуациях, когда речь идет о невыполнении им своих финансовых обязательств перед другими сторонами.

От содержания и организации аутсорсинга такого рода[18] прямо зависят и те варианты зависимости надежности банковской деятельности кредитной организации от провайдеров, в которые неизбежно попадает эта организация вместе со своими клиентами ДБО. Вариантов здесь достаточно много — начиная с обеспечения физической связи со средой информационного взаимодействия и заканчивая обеспечением резервных маршрутов (или каналов) такого взаимодействия при возникновении аварийных ситуаций. Эта множественность вынуждает руководство и специалистов кредитной организации внимательно относиться к содержанию контрактов на аутсорсинг, тщательно анализировать варианты распределения обязанностей и ответственности за уровень обслуживания, возникающие в виртуальном пространстве, включая уровень банковского обслуживания (что, как правило, в таких контрактах просто не учитывается). Независимо от выбранной ТЭБ и состава поддерживающих ее использование провайдеров руководству кредитной организации целесообразно предусмотреть однозначные семантические связи между содержанием контрактов на аутсорсинг и договоров с клиентами на ДБО в части обязанностей и ответственности сторон.

Это может оказаться не такой простой задачей, как нередко считается в отечественных кредитных организациях, причем сложность ее обратно пропорциональна качеству решений, принимаемых в части совершенствования управления банковскими рисками в условиях ДБО. Ничего принципиально невозможного в учете источников компонентов банковских рисков, вновь возникающих из-за действия рассматриваемого фактора риска, нет — проблема заключается в полноте анализа состава ИКБД и ролевых функций составляющих его элементов (что требует понимания сути ТЭБ). Однако ситуация существенно осложняется тем, что результаты «выяснения» правовых отношений, возникающих между агентами удаленного информационного взаимодействия, почти полностью зависят от высоких технологий, а специалисты в сфере таких технологий и в области правового обеспечения банковской деятельности до сих пор говорят, как известно, «на разных языках».

Третий фактор связан с возникающей в условиях открытых систем и универсальных протоколов сетевого взаимодействия потенциальной доступностью банковских автоматизированных систем и других информационно-процессинговых ресурсов кредитных организаций, а также устройств, используемых их клиентами при ДБО, для несанкционированного доступа и сетевых атак. Угрозы такого рода появились вместе с возникновением банковских автоматизированных систем. Постоянной остается проблема возможных злонамеренных действий со стороны инсайдеров кредитной организации (в широком смысле). Технологии электронного банкинга наряду с выгодами для кредитных организаций и удобствами для их клиентов существенно расширили спектр потенциальных угроз, которые могут быть реализованы извне этих организаций и при этом настолько «дистанционно», что локализовать источник этих угроз оказывается очень непросто (в том числе ввиду слабой регламентации функционирования провайдеров кредитных организаций и контроля над ними). Вследствие появления ДБО БАС кредитной организации перестает быть «вещью в себе» и при наличии недостатков в сетевой защите и «дыр» в периметре безопасности кредитной организации оказывается доступна для вирусных, хакерских, крэкерских и прочих атак, «достижение целей» которых означает реализацию всех банковских рисков, связанных с этим вариантом банковской деятельности.

Широкое распространение интернет-технологий наряду с интенсивным использованием для банковской деятельности сети Интернет и предоставляемых в связи с этим сетевых ресурсов породило новое направление исследований, относящееся к компонентам банковских рисков, возникающими из-за так называемых web-отношений[19]. Их анализу будет посвящен специальный раздел настоящей книги. Эти отношения возникают при внедрении кредитной организацией такого варианта ДБО, как интернет-банкинг, и требуют в общем случае существенного дополнения процесса управления банковскими рисками новыми процедурами (которые при развитии этой ТЭБ практически составляют новый внутрибанковский процесс, в котором целесообразно согласованное участие нескольких структурных подразделений кредитной организации).

Из дальнейшего изложения можно будет выделить еще несколько менее существенных факторов возникновения источников рисков, образующих соответствующие подмножества для каждого из рассматриваемых типичных банковских рисков, однако все три перечисленных основных фактора системного плана как минимум не должны ускользать от внимания руководства кредитной организации, переходящей к ДБО. Такое понимание значимости кратко рассмотренных выше факторов в современных условиях может стать одной из наиболее важных характеристик качества корпоративного управления в высокотехнологичной кредитной организации. Необходимо отметить, что при этом изменения происходят не только в технологическом и техническом обеспечении банковской деятельности, они в оптимальном варианте должны были бы происходить и в ряде основных бизнес-процессов кредитных организаций (или в подлежащих реализации). В книге рассматриваются возможные подходы к оптимизации способов и условий банковской деятельности при внедрении и применении кредитными организациями новых технологий электронного банкинга, их совершенствовании и комплексном развитии.

Следует специально подчеркнуть, что все процессы информационного взаимодействия в киберпространстве принципиально характеризуются анонимностью агентов этого взаимодействия и установить, кто именно в конкретный момент времени «держал палец на кнопке», с полной уверенностью невозможно. В каждом случае передачи и обработки данных, которые так или иначе связаны с какими-либо активами кредитной организации (являясь либо собственно записями о них или командами на изменения их значений), любой такой процесс существует только в отдельные кванты времени в электронных устройствах или каналах связи. По завершении такого управляющего процесса от него может не оставаться никаких следов, кроме изменения значений полей в записях баз данных, почему и становятся принципиально важными файлы так называемых «компьютерных журналов», фиксирующих события, происходящие в банковских автоматизированных системах (в зависимости от назначения и содержащихся в них данных их часто называют «системными логами» и «аудиторскими трейлами»). Это в свою очередь означает, что традиционные процессы управления банковской деятельностью и контроля над ней в высокотехнологичных кредитных организациях заведомо не могут считаться эффективными — эти процессы целесообразно адаптировать к применяемым банковским информационным технологиям и системам на основе риск-ориентированного анализа, который тоже следует адаптировать к специфике таких технологий.

Указанный анализ также целесообразно строить на изучении состава и структуры ИКБД, образуемого ТЭБ, внедряемой кредитной организацией. Даже если такая организация использует две-три однородные системы разного целевого назначения (по функциям, группам клиентуры и т. п.), схожесть процессов информационного взаимодействия в них не должна вводить в заблуждение. В этом случае лучше потратить дополнительное время и силы на аналогичный анализ, но с уверенностью избежать неожиданного негативного проявления какого-либо изначально незамеченного «мелкого» источника риска. Такой подход требует, естественно, подготовки соответствующих руководящих решений и распорядительных документов, что целесообразно предусмотреть заранее, до практического начала ДБО клиентов[20], особенно физических лиц, поскольку, как показывает практика, принципиальное отсутствие корпоративной культуры создает почву для возникновения новых инцидентов информационной безопасности и неправильного использования компьютерных и телекоммуникационных технологий.

Предваряя последующее изложение, можно сделать еще несколько замечаний. Прежде всего любой вновь внедряемой технологии предоставления банковских услуг и осуществления банковской деятельности в целом сопутствует увеличение числа внутрибанковских процессов или хотя бы процедур, составляющих такие процессы. Если этого не происходит, то, как свидетельствует практика, негативные события в жизни кредитной организации и ее клиентов неизбежны из-за непредвиденных ситуаций, которые вполне можно было бы прогнозировать и зачастую просто исключить их возникновение.

Далее приходится также пересматривать уже существующие в кредитной организации процессы с точки зрения их адаптации к новым способам и условиям банковской деятельности в рамках ДБО. Как говорится в уже цитировавшемся источнике, «мы слишком часто обнаруживаем себя ограниченными ментальными барьерами, создаваемыми нами самими. Методы, хорошо работавшие в прошлом, внедрились в наше мышление… если полагаться только на прошлый опыт, то следствием будут попытки применить привычные решения к непривычным проблемам либо не будут найдены новые эффективные подходы к старым проблемам»[21]. Стереотипы руководящего мышления в новых условиях банковской деятельности, формируемых применением технологий электронного банкинга, могут оказаться серьезным дополнительным источником для компонентов всех типов банковских рисков просто потому, что содержание таких технологий сложно для понимания, а из-за этого в свою очередь руководством кредитных организаций не модернизируются своевременно внутрибанковские процессы управления и контроля, в первую очередь процесс управления банковскими рисками. Для этого процесса ресурсная база, существовавшая в кредитной организации до внедрения ТЭБ, оказывается заведомо недостаточной (также в первую очередь), однако это не замечается или замечается слишком поздно для парирования уже реализовавшихся банковских рисков.

Еще одним принципиальным аспектом внутрибанковского управления и контроля в условиях лавинной компьютеризации банковской деятельности становится увеличение опасности возникновения разрывов в этих процессах, особенно если кредитная организация использует разные варианты ДБО, каждому из которых сопутствуют уникальные подмножества источников риска. Поэтому изменения в содержании внутрибанковских процессов и входящих в их состав процедур целесообразно синхронизировать с каждым решением о развитии банковской деятельности в рамках ДБО и каждым фактом внедрения новой технологии электронного банкинга. Этому вопросу будет уделено особое внимание, поскольку речь пойдет о подходе к согласованной модернизации тех внутрибанковских процессов, от которых непосредственно зависит надежность такой банковской деятельности. Говорить об этом нужно потому, что качество корпоративного управления определяется в современных кредитных организациях и новых условиях ДБО тем, насколько реально управляемыми и контролируемыми являются банковские автоматизированные системы.

Наконец, в ходе дальнейшего развития ДБО, без чего конкурентоспособным кредитным организациям, по-видимому, не обойтись, придется вносить существенные адаптационные изменения в свои бизнес-модели. Такие изменения обычно затрагивают стратегическое планирование и работу многих структурных подразделений кредитной организации, распространяясь по ее иерархии после внедрения первой же ТЭБ и соответствующей СЭБ. В дальнейшем этот процесс неизбежно станет повторяющимся при каждом следующем «витке» спирали технического прогресса в отечественном банковском секторе. Поэтому руководителям высокотехнологичных кредитных организаций логично привыкать к «новому мышлению» в связи с применением ДБО, которое будет служить оптимизации корпоративного управления, сохранению надежности и устойчивости этих организаций, равно как и выполнению ими обязательств перед своими клиентами и контролирующими органами.

Глава 2

Типичные банковские риски, ассоциируемые с применением технологий электронного банкинга

Не то важно, может что-либо произойти или не может, — все может произойти. Важно значение происходящего.

Суфийская мудрость

Проблематика банковских рисков привлекает внимание органов банковского регулирования и надзора разных стран уже довольно давно, и попытки их подробного описания и анализа имели место задолго до начала эры ДБО. Значимость потенциальных угроз надежности банковской деятельности в целом осознавалась в банковском сообществе, что выражалось, к примеру, даже в таких оригинальных формулировках, как «банковское дело — это принятие на себя риска с получением компенсации за него»[22], однако, как это ни парадоксально, до настоящего времени в публикациях, посвященных банковскому делу и сопутствующим рискам, отсутствует единый теоретический подход к определению, интерпретации и практическому применению даже базовых понятий, связанных с этой теорией. Внедрение в банковскую деятельность технологий и систем ДБО усугубило ситуацию в том плане, что на этой волне стали возникать как бы все новые и новые виды банковских рисков, из-за чего и без того не законченная методология, охватывающая выявление, оценивание, анализ, мониторинг банковских рисков и управление ими, стала размываться, затрудняя ее практическое использование.

Оборот «как бы» употреблен здесь не случайно. Несмотря на то что теоретические разработки в области рисков банковской деятельности ведутся уже более 20 лет (первые публикации систематического характера относительно отдельных компонентов таких рисков относятся еще ко второй половине 80-х гг. прошлого века), законченной или даже сколько-нибудь полной «теории» этих рисков до настоящего времени не создано — проработаны только отдельные направления. В основном такие разработки были посвящены кредитному, процентному, ценовому, валютному рискам или совокупности последних, определяемых как рыночный риск, а также риску ликвидности. Мало того, практически каждый из зарубежных органов банковского регулирования и надзора[23] до последнего времени формировал свою собственную теорию, причем общее число банковских рисков варьировалось от полутора десятков до одного (операционного, поглощавшего все остальные). Одна из таких теоретических разработок Базельского комитета по банковскому надзору (БКБН) нашла отражение в упомянутом ранее Указании оперативного характера Банка России от 23 июня 2004 г. № 70-Т «О типичных банковских рисках». В этом материале фигурируют следующие 11 банковских рисков: кредитный, страновой, рыночный, фондовый, валютный, процентный, ликвидности, операционный, правовой, потери деловой репутации и стратегический. Между тем, с течением времени и развитием банковских информационных технологий этим дело не ограничилось, поскольку возникли новые компоненты банковских рисков, уже технологического характера, которые стали вносить существенные коррективы в теоретические подходы к анализу рискованности банковской деятельности.

Вследствие этого в последних по времени выпуска материалах БКБН, посвященных основным принципам управления рисками в условиях применения электронного банкинга[24], стали фигурировать еще и такие риски, как:

— деловой;

— безопасности;

— хищений идентификационных данных;

— мошеннических действий со счетами;

— отмывания денег;

— обезличивания индивидуальности;

— отрицания транзакций,

несмотря на то что в этой же работе отмечалось «отсутствие возникновения принципиально новых рисков» и что «деятельность в области электронного банкинга не приводит к возникновению рисков, которые не были бы уже идентифицированы в предыдущих работах Базельского Комитета». Вместе с тем было также указано, что фундаментальные характеристики ДБО и факторы, которые ассоциируются «с видами обслуживания в рамках электронного банкинга… увеличивают и модифицируют некоторые из традиционных рисков, связанных с банковской деятельностью, в особенности стратегический, операционный, правовой и репутационный риски, тем самым влияя на общий профиль риска в банковском деле». Мало того, в некоторых других материалах БКБН говорится еще и о так называемых рисках, «характеризующих электронную обработку данных в банках», а именно:

— риск непредусмотренного раскрытия информации;

— риск ошибок;

— риск мошенничества;

— риск прерывания операций;

— риск неэффективного планирования;

— риски, связанные с действиями клиентов.

В более ранних документах БКБН, посвященных типичным банковским рискам и считавшихся основополагающими в этой области, перечисленные выше разновидности рисков не упоминались и не рассматривались. Также в этих документах отсутствуют указания на совокупности «новых» банковских рисков как на компоненты типичных банковских рисков, а это, с точки зрения автора, неточность, имеющая принципиальный характер. Очевидно, что нагромождение дополнительных разновидностей банковских рисков может привести только к размыванию границ методологии, которую вряд ли когда-нибудь можно будет считать законченной.

Не лучше, чем в этом общеевропейском методическом органе банковского регулирования и надзора, обстоят дела с теоретическими исследованиями в области банковских рисков в условиях электронного банкинга и в отдельных странах. Чтобы не перегружать изложение, уместно ограничиться только двумя примерами попыток преодоления ограничений, свойственных традиционному подходу к описанию банковских рисков при переходе к анализу их специфики, обусловленной эффектами виртуального пространства, в котором осуществляется современная банковская деятельность.

В частности, Банк Нидерландов в рассматриваемом отношении выделяет следующие «нетрадиционные» риски[25]:

— риск управляемости (обусловленный недостаточной гибкостью и обеспечением банковских информационных технологий);

— риск эксклюзивности (обусловленный недостаточной защитой против несанкционированного доступа к банковским автоматизированным системам и отдельным средствам в их составе);

— риск целостности (обусловленный неточностью, неполнотой банковской информации или несвоевременностью ее поступления);

— риск контролируемости (обусловленный недостаточными функциональными характеристиками средств контроля);

— риск непрерывности (обусловленный возможной недостаточной доступностью для работы самих информационных технологий);

— риск пользователя (обусловленный возможным неправильным использованием информационных технологий).

Легко заметить некорректность приведенных формулировок, которые семантически должны были бы строиться совершенно иначе, учитывая, что при рассмотрении рисков речь всегда идет о возможности наступления событий, характеризуемых неким негативным влиянием на результаты той или иной деятельности. Эти же формулировки должны были бы строиться, например, таким образом:

— риск неуправляемости (или потери управляемости);

— риск потери конфиденциальности (или несанкционированного доступа);

— риск нарушения целостности (или искажения данных);

— риск неконтролируемости (или потери контроля);

— риск недоступности (или прерывания функционирования) и т. п.

Важно подчеркнуть, что подобные отмеченные семантические смещения во внутрибанковских документах, относящихся к организации и содержанию управления банковскими рисками, и проистекающие из общепринятого подхода, выражаемого словами «все всё понимают», недопустимы, так как «затуманивают» существо негативного явления. Следствием этого, как правило, становятся просчеты в содержании составляющих данный процесс процедур, а также пробелы в их понимании, организации и выполнении.

Наконец, в материалах одного из основных органов банковского регулирования и надзора США и старейшего из них, созданного еще в середине XIX в. — Управления контролера денежного обращения[26], — такие банковские риски определяются как «ключевые риски, связанные с электронными банковскими операциями», а именно это:

— риски, связанные с зависимостью от поставщиков и провайдеров;

— риски, связанные с обеспечением безопасности, целостности и конфиденциальности банковских данных;

— риски, связанные с авторизацией, аутентификацией и подтверждением достоверности и прав пользователя;

— риски, связанные со стратегией ведения бизнеса и деловыми операциями;

— риски, связанные с планированием непрерывности деловых операций;

— риски, связанные с допустимостью проведения тех или иных операций и правовыми вопросами;

— риски, связанные с компьютерными преступлениями и отмыванием денег.

При этом в более ранних и также считающихся базовыми материалах ОСС, посвященных организации банковского регулирования и надзора на основе рисков[27], перечисляются 9 банковских рисков (совпадающих с формулировками БКБН за исключением странового и фондового)[28], к которым только что перечисленные риски как будто никакого отношения не имеют.

Очевидны как сходство, так и различия в интерпретации аналогичных угроз надежности банковской деятельности, осуществляемой с использованием кредитными организациями новых компьютерных информационных технологий. Кстати, можно заметить, что при анализе рисков электронного банкинга зарубежные специалисты исключают из ИКБД собственно банковские автоматизированные системы (причем это свойственно специалистам и США, и некоторых стран Западной Европы) ’. В трактовке систем электронного банкинга как виртуальных «ворот», открывающих доступ к информационно-процессинговым ресурсам кредитной организации, такой подход представляется в значительной мере упрощенным, поскольку все подверженные влиянию источников риска ресурсы такого рода сконцентрированы в так называемом «бэк-офисе» кредитной организации. Вследствие этого и анализ содержания компонентов банковских рисков логично осуществлять на всем протяжении ИКБД, который замыкается в хранилище банковских и клиентских данных, используемых для операционной и информационной деятельности кредитной организации, включающей также предоставление информации ее клиентам по счетам и операциям, равно как и подготовку регламентной банковской отчетности для контролирующих органов.

В российской литературе, посвященной рискам банковской деятельности, также часто встречаются «новые» банковские риски, упоминаемые в связи с разными сторонами информатизации этой деятельности. Наиболее «популярными» из них стали «информационные», «технологические», «технические» риски (или их комбинации) и некоторые другие. Дело не в новых названиях как таковых, а в том, что предметная область банковских рисков как бы становится шире вместе с каждой новой банковской информационной технологией, а значит, размывается и становится безграничной и соответствующая методология (как область знаний); вместе с тем она постоянно устаревает, вследствие чего использовать ее на практике почти невозможно. На самом деле новые технологические и технические решения сами собой не приводят к возникновению новых видов банковских рисков, которые необходимо учитывать в процессе управления ими (кстати, традиционно считается, что в него входят также процедуры выявления, анализа, мониторинга и оценки уровней этих рисков) и в «изобретении» этих видов рисков необходимости нет. Противоречия, подобные приведенному, свидетельствуют, по мнению автора, о неперспективности такого «экстенсивного» подхода к описанию и анализу банковских рисков. Понимая, что увеличение «множественности видов» банковских рисков препятствует поддержанию целостности и обеспечению преемственности методологии анализа банковских рисков с течением времени и технического прогресса, логичнее было бы более детально изучать и анализировать их структуру. Следовательно, имея в виду возможное развитие их с течением времени, все перечисленные выше новые риски целесообразно интерпретировать как компоненты типичных банковских рисков, уделяя им внимание при внедрении каждой новой ТЭБ.

С одной стороны, наличие некоторого хаоса в рассматриваемой области неудивительно, поскольку осознание рассматриваемых рисков оказалось непосредственно и почти исключительно связано с долгим эмпирическим путем развития и освоения банковского дела как такового. С другой стороны, быстрое внедрение и распространение банковских информационных технологий привело к таким системным изменениям в банковской сфере, которые создали условия для неожиданных и крупных трансформаций профилей рисков, обусловленных варьирующимися факторами риска как для отдельных кредитных организаций, независимо от их размеров, так и для финансовых систем в разных странах (в силу эффекта лавинного распространения рисков). Поэтому понятие риска как вероятности каких-либо потерь (включая упущенную выгоду) повсеместно становится предметом изучения и с эвристических, и с математических позиций[29], а для высокотехнологичных кредитных организаций отсутствие единой теории банковских рисков создает дополнительные проблемы с учетом их специфических компонентов, вносимых ДБО, в процессе управления банковскими рисками (УБР).

Анализ причин возникновения технологических и технических компонентов типичных банковских рисков приводит к выводу, что основным фактором для этого (опять-таки системного характера) является превращение банковской деятельности в своего рода «информационную дисциплину», которая в современном мире естественным образом оказалась «замкнута» на компьютерные технологии и вычислительные сети. Это означает, что все угрозы надежности банковской деятельности, порождающие источники указанных компонентов, можно свести в два небольших перечня:

1) данные (банковские и клиентские), передаваемые, обрабатываемые и хранимые в ИКБД, могут быть:

— похищены,

— изменены,

— уничтожены,

2) операции, совершаемые с этими данными, могут быть:

— имитированы,

— искажены,

— блокированы.

Поэтому становится необходимым постоянное обеспечение кредитной организацией авторизации, верификации и контроля получаемых, передаваемых и обрабатываемых финансовых и других (банковских, клиентских) данных, равно как и операций, осуществляемых с этими данными. Для этого в условиях применения электронного банкинга требуются дополнительные специальные процедуры, необходимости в которых при традиционной банковской деятельности не было в силу отсутствия такого явления, как ИКБД.

Эта проблематика до сих пор не считалась значимой и актуальной, по-видимому, из-за того, что автоматизация деятельности кредитных организаций, включая ДБО, не воспринималась как системный феномен, влияющий на эффективность и качество данной деятельности и превративший эти организации в аппаратно-программные комплексы информационных систем, состоящие из двух основных частей: БАС (в широком смысле) и хранилища банковских данных. Одновременно изменился и характер целого ряда типичных банковских рисков, в которых все более значимую роль стали играть их компоненты технологического и технического характера. Отсутствие такого восприятия объясняется, вероятно, несоответствием традиционного, устоявшегося понимания содержания банковской деятельности ее радикально изменившемуся характеру, обусловленному возникновению новых вариантов ДБО. Из-за этого в кредитных организациях возникли многочисленные недостатки в осуществлении УБР, негативное влияние которых на характеристики банковской деятельности и интересы клиентов этих организаций усугубляются опережающими темпами внедрения новых банковских информационных технологий и систем электронного банкинга по сравнению с совершенствованием процесса УБР.

Чтобы не «нагромождать» все новые и новые риски в ситуациях применения кредитными организациями разнородных технологий электронного банкинга, предлагается простая модификация традиционного подхода, ориентированная на анализ состава компонентов типичных банковских рисков, который неизбежно усложняется за счет возникновения их дополнительных источников, обусловленных в свою очередь действием рассмотренных выше новых факторов риска в ИКБД. Таким образом, в предлагаемой методологии риск-ориентированного подхода постулируется, что внедрение кредитными организациями новых информационных технологий, в том числе технологий электронного банкинга, не приводит к возникновению новых видов банковских рисков, но расширяет состав факторов и порождаемых ими источников компонентов типичных банковских рисков и вызывает смещения профилей рисков, сопутствующих банковской деятельности.

Здесь уместно также подчеркнуть различие между традиционными системами «Банк — Клиент» так называемого «закрытого» типа, которые предлагались только для юридических лиц и оказывались удобны лишь в тех случаях, когда «точка входа» в такую систему оставалась стационарной (в виде АРМ), и быстро распространяющимися системами ДБО с вариативным доступом к ним. Их разновидности продолжают появляться, что связано преимущественно с развитием мобильных средств связи и сопутствующих им компьютерных систем, а значит, возникают специфические для последних источники компонентов банковских рисков, которые существенно отличают их от систем со стационарными автоматизированными рабочими местами для ДБО. В свою очередь общность рассмотрения данной предметной и проблемной области предполагает ее инвариантность к особенностям среды информационного взаимодействия, в которой действуют элементы ИКБД.

В число основных факторов системного уровня, которые принципиально повышают уровни ряда типичных банковских рисков при использовании технологий электронного банкинга, входят также следующие:

— «виртуальный» характер дистанционных банковских операций;

— доступность «открытых» телекоммуникационных систем;

— чрезвычайно высокая скорость выполнения транзакций в виртуальном пространстве;

— глобальный характер межсетевого операционного взаимодействия;

— участие компаний-провайдеров в реализации банковского обслуживания;

— возможности использования систем электронного банкинга для противоправной деятельности.

Недостатки в учете этих факторов при внедрении технологий электронного банкинга приводят к росту вероятностей реализации компонентов банковских рисков как для кредитных организаций, так и для их клиентов. В свою очередь необходимость учета этих факторов в УБР приводит к требованию уточнения понятия и содержания собственно «банковской деятельности».

Это понятие стало существенно шире за последние годы, охватывая процесс применения банковских информационных технологий, а также новые способы и средства информационного взаимодействия кредитных организаций со своими клиентами и контрагентами. Соответственно в процессе УБР необходимо учитывать это расширение, поскольку результаты банковской деятельности стали в значительной мере, если не полностью, зависеть от того, могут ли считаться условия применения таких технологий пруденциальными и каким образом обеспечивается и гарантируется технологическая и техническая надежность кредитных организаций, равно как и эффективность процессов управления и контроля в них.

2.1. Особенности риск-ориентированного подхода к внедрению и применению технологий электронного банкинга

Как показывает анализ изменений, происходящих в составе и содержании банковских бизнес-процессов (в оптимальном варианте подлежащих внесению кредитными организациями вместе с внедрением ими технологий электронного банкинга — независимо от их общего количества и функциональных особенностей), вслед за такими изменениями могут (а лучше бы должны) следовать и изменения в организационно-штатной структуре кредитной организации. Фактически подразумевается требование адаптации распределения функциональных ролей, ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности конкретных руководителей и исполнителей на различных уровнях иерархии управления этой организации к новым банковским технологиям. Это положение относится к целому ряду специальных служб в структуре кредитной организации. Прежде всего к подразделениям, отвечающим за процесс УБР, применение информационных технологий (ИТ) и (или) автоматизацию, внутренний контроль и финансовый мониторинг (в настоящее время эти два процесса нередко реализует одно подразделение), обеспечение информационной безопасности, ведение претензионной работы, а также сервис-центр и некоторые другие. Вместе с тем все сопутствующие и адекватные складывающейся в кредитной организации ситуации изменения должны коснуться и документарного обеспечения деятельности перечисленных подразделений. Такие изменения инициируются, как правило, органами управления этой организации и реализуются соответствующими (достаточно специфическими по сути) внутрибанковскими процессами и процедурами.

На сегодняшний день полнота, адекватность и качество бизнес-процессов в кредитной организации фактически стали определяться соответствием их новому, к сожалению, не получившему пока правильного осознания принципу: «Знай свои технологии»[30]. Без преувеличения можно сказать, что большинство процедур, входящих в состав внутрибанковских процессов, реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами. Да и сама кредитная организация, если говорить о собственно выполнении банковских операций «и других сделок», о которых сказано в ст. 5 Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности», в значительной своей части представлена теперь не зданием с обозначающей ее вывеской, а БАС и хранилищем данных, доступ к которым во все большем числе случаев обеспечивают системы ДБО[31]. Таким образом, привычный «Банк» оказывается для клиента кредитной организацией не более чем «кирпичным интерфейсом», служащим для официального оформления и инициации доступа к той БАС, которая выполняет все банковские операции и совершает другие сделки (причем не обязательно в самой кредитной организации). В дополнение к этому клиент может в ряде случаев осуществлять доступ к бэк-офису кредитной организации через ИКБД, выступая фактически в роли «операциониста», взаимодействующего с ее БАС удаленно, что радикально меняет и характер отношений с ним кредитной организации, и состав так называемых «зон ответственности» этой организации, и ее «периметр безопасности»[32]. Приведенные наблюдения оказываются тем более справедливыми, что по состоянию на февраль 2009 г. большинство кредитных организаций применяет от двух до десяти систем ДБО разного или вариативного функционального назначения (пик соответствующей диаграммы приходится на 3–4 системы такого рода). Одновременно, как правило, задействуются и 2–4 web-сайта (по той же статистике — даже до 12!).

Внедрение любых технологий электронного банкинга не должно негативно сказываться на надежности и устойчивости высокотехнологичных кредитных организаций, т. е. уровень совокупного или агрегированного банковского риска[33] повышаться не должен. Это означает, что изменения в структурах профилей отдельных типичных банковских рисков должны происходить таким образом, чтобы профиль агрегированного риска, пусть даже меняясь, оставался контролируемым в смысле установленных для его компонентов пределов с учетом их возможного взаимного влияния. При этом подразумевается, что в кредитной организации существует описание этих компонентов в форме определений основных типичных банковских рисков, имеющих компоненты технологического и технического характера, причем в эти описания своевременно (в оптимальном варианте) вносятся коррективы, определяемые особенностями вновь внедряемой ТЭБ и реализующей ее СЭБ.

В этой книге используется иерархическая модель для профилей банковских рисков, представленная на рис. 2.1, которая была апробирована в процессе проводившихся в течение нескольких лет исследований организации банковской деятельности, осуществляемой технологиями электронного банкинга. В ней фигурируют три уровня: помимо уровня известных типичных банковских рисков (ТБР) рассматриваются также нижележащий уровень так называемых «элементарных» банковских рисков (ЭБР) и вышележащий уровень «системных» банковских рисков (СБР). Это в известной степени условные понятия, призванные лишь подчеркнуть различия между уровнями анализа состава компонентов агрегированного банковского риска: каждый ЭБР соответствует некоему недостатку в формировании организационно-технической базы банковской деятельности или, иначе, «просчету» в управлении рисками банковской деятельности в смысле превентивного воздействия на потенциальные источники компонентов этих рисков. Каждый СБР характеризует возможные последствия влияния неконтролируемого изменения профиля и повышения отдельного ТБР или их совокупности, что в итоге может привести к негативным событиям системного характера[34]: отзыву лицензии на осуществление банковских операций, банкротству, ограничению выполняемых операций и т. п. На средней условной плоскости ТБР показан профиль риска в форме Пентагона с указанием уровней пяти типичных банковских рисков.

Чтобы удерживать уровни банковских рисков в допустимых пределах, необходимо осуществлять выявление их компонентов, анализировать причины их возникновения — источники указанных компонентов, определять меры воздействия на эти источники (осуществлять собственно УБР) и контролировать результаты такого воздействия. В свою очередь для эффективной организации и реализации перечисленных процедур в составе процесса УБР целесообразно учитывать уже разработанные и апробированные подходы к его формированию, кратко рассматриваемые ниже.

В одном из основных материалов БКБН, посвященных проблематике УБР в новых условиях[35], отмечается: «При выборе технологии электронного банкинга руководству кредитной организации следует анализировать сопутствующие ей факторы и источники рисков, а также оценивать возможности управления данной технологией и контроля ее использования». При этом специально в отношении ДБО через Интернет, учитывая способность технологий такого рода стимулировать взаимную анонимность кредитных организаций и их клиентов (скрытых средой информационного взаимодействия), говорится, что «предоставление финансовых услуг через Интернет может существенно изменить и (или) даже увеличить традиционные банковские риски (например, стратегический, репутационный, операционный, кредитный и ликвидности)». На самом деле состав банковских рисков, на изменение профилей и уровней которых влияют технологии электронного банкинга, непосредственно зависит от особенностей банковского законодательства, действующего в той или иной стране. Поэтому перечни банковских рисков, приводимые в различных руководствах зарубежных органов банковского регулирования и надзора, отвечают условиям только конкретной страны (или так называемой «объединенной Европы»), а в широком смысле они, конечно, вариативны. Кроме того, в этом же смысле рассматриваемый риск-ориентированный подход не ограничивается только рисками, которые принимают на себя кредитные организации, а распространяется и на их клиентов, что в условиях электронного банкинга приобретает, так сказать, «особую значимость», потому что риски, которым подвергаются такие клиенты, могут непосредственно преобразоваться в компоненты типичных банковских рисков (о чем чаще всего просто забывают).

В число основных характеристик современных условий осуществления банковской деятельности (которые целесообразно учитывать при стратегическом планировании использования электронного банкинга) входят:

— активная разработка и внедрение новых вариантов банковского обслуживания и сопутствующих им новых банковских технологий;

— внесение изменений в законодательство, ориентированных на повышение надежности и транспарентности банковской деятельности[36];

— дефицит специалистов в области технологий электронного банкинга на фоне их быстрого развития и распространения;

— многообразные зависимости эффективности банковской деятельности от сторонних организаций (разного рода аутсорсинга);

— усложнение контроля над процессами, протекающими в виртуальном пространстве банковской деятельности («киберпространстве»).

При этом наблюдается принципиальное противоречие между темпами развития банковских информационных технологий и законодательной базы осуществления банковской деятельности и ее обеспечения. Эти условия никак не зависят от кредитных организаций, поэтому учитывать их целесообразно как факторы возникновения потенциальных проблем, с которыми вполне вероятно им придется столкнуться при внедрении ТЭБ. Здесь уместно сделать краткое отступление, чтобы отметить некоторые особенности проявления таких факторов, о которых целесообразно подумать еще до начала этого внедрения при принятии решения относительно выбора конкретной технологии.

Прежде всего руководству кредитной организации уместно оценить, насколько хорошо известна, распространена и апробирована предлагаемая ТЭБ, поскольку история развития банковского дела знает немало примеров использования недостаточно хорошо освоенных технологий и систем такого рода, что всегда приводило к реализации компонентов всех имеющих отношение к делу типичных банковских рисков. «Пробелы» в законодательстве обычно приводят к несовпадениям в интерпретации правил и условий использования ДБО разными сторонами, оказывающимися в спорных ситуациях, связанных с недостатками в организации условий применения конкретной ТЭБ (в самом широком смысле), равно как в содержании обязанностей и ответственности лиц, от которых оно зависит, и определении степени ответственности сторон — участников конфликта. Здесь следует отметить и то, что российским кредитным организациям до настоящего времени приходится самим парировать недостатки отечественного финансового, и в частности банковского законодательства, что относится в значительной мере к содержанию текстов договоров с клиентами ДБО и контрактов с провайдерами, действующими в соответствующем ИКБД: положения этих документов подвергаются наиболее тщательному анализу в арбитражных судах.

В более узком смысле для того чтобы руководству кредитной организации определить состав факторов риска, способных негативно повлиять на процесс и результаты банковской деятельности, удобно разбить ИКБД на так называемые «зоны концентрации источников риска» (как минимум — известные специалистам кредитной организации и предполагаемые ими) и проанализировать особенности каждой из них. Первой такой зоной является клиент ДБО, последней — компоненты локальной вычислительной сети (ЛВС) этой организации, между которыми располагаются зоны, относящиеся к ее провайдерам, телекоммуникационным системам и пр., включая зональные вычислительные сети (ЗВС) в распределенных или многофилиальных структурах крупных кредитных организаций. Затем, при необходимости, отдельные факторы или источники рисков можно сгруппировать по признакам их возможного проявления в тех или иных типичных банковских рисках. Это может оказаться полезным, например, при организации управления банковскими рисками по их типам: операционный, правовой, репутационный и др. Как бы то ни было, указанные зоны подлежат описанию во внутренних документах кредитной организации, относящихся к управлению банковскими рисками, вместе с общими мерами по парированию их потенциального влияния.

В связи с этим можно определить основные подлежащие оперативному решению проблемы, связанные с новыми факторами, повышающими уровни банковских рисков при использовании технологий электронного банкинга, с чем сталкиваются соответствующие кредитные организации при создании пруденциальных условий банковской деятельности (с учетом всех зон ответственности и концентрации источников компонентов банковских рисков):

для кредитных организаций:

а) возможно снижение надежности (а вслед за этим и устойчивости) банковской деятельности из-за неадекватного учета новых факторов и источников банковских рисков, обусловленных спецификой новой ТЭБ и сложностью контроля реализующих их внутрибанковских и системных процессов;

б) из-за различий в практической реализации кредитными организациями технологии электронного банкинга возникает необходимость в точном учете конкретного состава реально действующих факторов риска в каждом отдельном случае (варианте архитектуры БАС и систем электронного банкинга);

для клиентов кредитных организаций:

а) возможен ущерб их интересам из-за реализации неизвестных или малоизвестных им факторов и источников банковских рисков при отсутствии у них достаточной квалификации в части ТЭБ (включая понимание функционирования конкретного ИКБД в выбранном ими варианте ДБО);

б) освоение выбранной СЭБ может оказаться серьезно затруднено из-за несоответствия характеристик собственной личности (возраст, социальное положение, образование, сфера деятельности и т. п.), следствием чего станет повышение уровней принимаемых на себя «клиентских» рисков.

Поэтому, в частности, в ряде своих материалов БКБН отмечает необходимость разработки кредитными организациями «эффективной внутрибанковской политики и практики управления проектами, жизненным циклом систем, контроля над изменениями и гарантией обеспечения требуемого качества банковской деятельности и обслуживания клиентов»[37]. Одновременно подчеркивается, что план внесения адаптационных изменений в перечисленные компоненты банковской деятельности (и внутрибанковские процессы) высшему руководству кредитных организаций целесообразно составлять еще до перехода к практической эксплуатации систем ДБО. Причем план этот должен «эффективно доводиться» до всех менеджеров структурных подразделений кредитной организации, которые будут иметь отношение к использованию новой банковской технологии.

Наиболее значимой особенностью организации процесса УБР в условиях электронного банкинга является вариативность ИКБД, компоненты которого и их потенциальное негативное влияние необходимо учитывать. При этом приходится помнить о том, что каждая ТЭБ и реализующая ее СЭБ создают свой собственный контур такого рода, и эти информационные контуры могут не только не совпадать (даже при использовании однородных технологий электронного банкинга), но и существенно различаться подмножествами источников компонентов риска, концентрирующихся в тех или иных зонах. Сами эти зоны также могут оказаться неявно выраженными, скажем, в случаях использования кредитной организацией так называемых «виртуальных частных сетей»[38], формирующих в общедоступных сетях передачи данных защищенные «туннели» передачи информации, сетевых экранов (брандмауэров) и прокси-серверов, требующих весьма тщательной настройки своего программно-информационного обеспечения, с помощью которого организуется сетевая защита. Недостатки в организации применения информационных технологий такого рода, которые известны, как правило, только узким специалистам, могут оказаться теми «виртуальными воротами» к информационно-процессинговым ресурсам бэк-офиса кредитной организации, на которые обычно нацелены хакерские, вирусные и прочие сетевые атаки.

Очевидно, что риск-ориентированный подход требует не только составления схем ИКБД, определения и описания зон концентрации источников компонентов банковских рисков, но и комплексного анализа их потенциального влияния на указанные ресурсы. При этом важно постараться охватить процессом УБР все каналы информационного взаимодействия кредитной организации с клиентами или, при неблагоприятном стечении обстоятельств, — со злоумышленниками, имея в виду, что в условиях развитых филиальных структур необходима организация мониторинга влияния источников компонентов банковских рисков во всей структуре подразделений кредитной организации и для всех ее систем электронного банкинга (особенно в ситуациях, когда услуги электронного банкинга предоставляются филиалами), охватывая также и БАС (о чем нередко забывают).

2.2. Классификация банковских рисков и их компонентов

Основной акцент при рассмотрении факторов и источников компонентов банковских рисков необходимо делать на выполнении кредитной организацией своих обязательств перед клиентами ДБО и на защите их интересов. Безусловно, это не означает, что кредитные организации забудут о своих коммерческих интересах, но, с точки зрения автора, риск-ориентированное рассмотрение проблематики ДБО может считаться полноценным только в том случае, если оно одновременно и «клиент-ориентированное». В банковской сфере сосредоточены интересы огромного числа клиентов кредитных организаций, которые всегда будут оставаться зависимыми от доверия к ним со стороны таких клиентов. Отсутствие доверия, как справедливо подчеркивается в материалах БКБН, способно вызвать кризисные явления в этой сфере. Достаточно заметить, что количество клиентов ДБО у разных кредитных организаций, действующих на территории Российской Федерации, варьируется от нескольких сотен до нескольких сотен тысяч, так что процессы УБР и претензионной работы целесообразно рассматривать как не менее важные, чем собственно операционная деятельность кредитных организаций (к сожалению, такой подход пока еще нельзя считать распространенным в отечественном банковском секторе).

Как бы то ни было, кредитным организациям, переходящим к ДБО, целесообразно осуществлять упреждающий анализ влияния описанных выше основных факторов возникновения новых компонентов банковских рисков на эффективность банковской деятельности в целом. Типичные банковские риски, в составе которых имеются сопутствующие ДБО компоненты административно-организационного, технологического и технического характера, перечислены в упоминавшемся ранее Письме Банка России от 31 марта 2008 г. № 36-Т (далее — Письмо 36-Т). То, что акцент в этом документе сделан на технологии интернет-банкинга, не сказывается на общности рассмотрения, поскольку практически все изложенное в этом документе можно непосредственно соотнести со всеми остальными технологиями ДБО. К числу банковских рисков, с которыми ассоциируются указанные компоненты, в Письме 36-Т отнесены: стратегический, операционный, правовой, репутационный риски и риск ликвидности (который в условиях электронного банкинга модифицируется в риск неплатежеспособности[39]).

Прежде чем перейти к дальнейшему изложению, следует сделать некоторые пояснения относительно отбора типичных банковских рисков для последующего анализа. Дело в том, что из общего числа этих рисков в зависимости от особенностей действующего банковского законодательства некоторые себя никак не проявляют, тем не менее это не означает, что с внесением изменений в законодательство они не заявят о себе в будущем. Поэтому ниже приводятся выдержки из материала Управления контролера денежного обращения США(ОСС)[40], в котором рассматриваются все классифицированные этой организацией банковские риски, рассматриваемые на примере ДБО в варианте интернет-банкинга и приводимые здесь в качестве наиболее полного варианта анализа такого рода. Эти выдержки (как, впрочем, и сам цитируемый документ) могут оказаться полезными при принятии в кредитной организации руководящих решений относительно содержания ДБО и организации пруденциальных условий его применения. В этих рекомендациях речь идет о следующих девяти (основных?) банковских рисках’:

— кредитном;

— операционном;

— ценовом;

— ликвидности;

— процентном;

— валютном;

— правовом;

— репутационном;

— стратегическом.

Затем кратко излагаются описания факторов возможного повышения уровней каждого из перечисленных банковских рисков (свойственные, естественно, американской действительности).

В качестве причин повышения уровня кредитного риска в рассматриваемом материале упоминаются следующие: «Отсутствие личного контакта с клиентами при взаимодействии через Интернет может привести к возникновению проблемы верификации истинности личностей клиентов и в дальнейшем к ошибочным решениям в части кредитования. Могут возникнуть трудности при подтверждении залога и выполнении соглашений по обеспечению безопасности совершения операций интернет-банкинга.

При отсутствии правильного управления [кредитованием][41] использование интернет-банкинга может привести к концентрации кредитов у заемщиков или кредитов в отдельной отрасли производства.

Возможно недостаточное осознание советом директоров и руководством [кредитной организации] дополнительных факторов кредитного риска в связи с применением технологии интернет-банкинга».

Очевидно, что в российских условиях приведенные соображения пока еще не стали актуальными в силу известных законодательных ограничений.

В отношении операционного риска в цитируемом материале ОСС отмечается, что «возможны ошибки при выполнении и (или) отказы в предоставлении услуг интернет-банкинга в связи со сбоями в функционировании системы или программного обеспечения. Клиенты, осуществляющие деловые операции через Интернет, скорее всего не потерпят ошибок или промахов со стороны финансовых учреждений, которые не обладают специальными средствами внутреннего контроля для управления проведением операций в рамках интернет-банкинга. Подобным образом клиенты ожидают непрерывной доступности конкретной услуги и web-страниц с простой навигацией (ориентацией) по ним.

В дополнение к операционному риску ошибки в клиринге могут повысить репутационный риск, риск ликвидности и кредитный риск».

Здесь следует отметить, что в условиях электронного банкинга операционный риск характеризуется существенно большей вариативностью, нежели предусмотрено в материале ОСС, поскольку в его состав входят компоненты, относящиеся ко всему ИКБД, включая не только web-сайты кредитных организаций, но и разнообразные каналы (линии) связи, системы основных и суб-провайдеров, возможные сетевые атаки, а также самих клиентов указанных организаций, о чем в рассматриваемом материале вообще не упоминается (возможно, в силу более высокой компьютерной грамотности населения США, хотя это в данном случае не принципиально).

О ценовом риске сказано следующее:

«Банки могут оказаться подвержены ценовому риску, если они начинают или расширяют депозитный брокеринг, торговлю кредитами или программу страхования от риска в результате деятельности в рамках интернет-банкинга. При осуществлении интенсивного трейдинга активов возможно наличие недостатков в действующих системах управления для измерения и мониторинга ценового риска, а также управления им».

Этот риск для отечественных кредитных организаций, применяющих технологии электронного банкинга, пока что не актуален.

В части риска ликвидности отмечается только то, что: «Возможно значительное увеличение изменчивости в депозитах, поступающих от клиентов, которые держат свои счета только из соображений [наиболее выгодных] ставок или сроков.

Системы управления активами/пассивами и кредитным портфелем должны соответствовать услугам, предлагаемым в рамках интернет-банкинга».

Надо отметить, что с понятием «ликвидность» здесь связан лишь традиционный смысл, т. е. используемая семантика не учитывает давно уже ставших традиционными проблем не столько с наличием у кредитной организации финансовых средств (ликвидных активов), сколько с их получением клиентами в требуемые им моменты времени. Это актуально во всех случаях так называемых «электронных переводов»[42], в том числе когда клиентами кредитной организации являются не только физические лица, но и юридические, включая другие кредитные организации. Об этом подробнее будет сказано ниже при рассмотрении полных формулировок банковских рисков и «заложенных» в этих формулировках причинно-следственных связей между негативными событиями и их последствиями для кредитных организаций, предлагающих ДБО, и соответствующих клиентов.

Учет особенностей изменения процентного риска также представляется пока что не актуальным, однако в интересах полноты изложения следует привести относящуюся к нему цитату: «Интернет-банкинг может способствовать формированию депозитных, кредитных и других отношений с более широким кругом потенциальных клиентов, чем другие формы маркетинга. Доступ более широкого круга клиентов, заинтересованных преимущественно в наиболее высоких процентных ставках или сроках, усиливает потребность руководства [кредитной организации] в поддержании на должном уровне систем управления активами/пассивами, включая способность быстрого реагирования на изменяющиеся рыночные условия».

Также в плане ДБО пока неактуально повышение уровня валютного риска, о причинах которого сказано, что: «Возможны недостатки в системах контроля для приема депозитов от клиентов-нерезидентов или открывающих счета, номинированные в валютах, отличных от доллара США».

Что касается правового риска, то его возникновение связывается с такими проблемами, как «недостаточно развитая нормативная база, применимая к операциям электронного финансового обслуживания, включая интернет-банкинг. Возможны недостатки в контроле над выполнением требований, применимых к электронному обслуживанию и предоставлению услуг через Интернет или отсутствие такого контроля. Возможно невыполнение правила „знай своего клиента“ и нарушение запретов, наложенных на некоторых из них».

Сказанное здесь вполне справедливо, но это не все, что желательно учитывать в процессе УБР: практика свидетельствует, что структура этого риска значительно усложняется.

То же самое относится к репутационному риску (или, иначе, риску потери деловой репутации[43]), причем он оказывается тесно связан с правовым и операционным банковскими рисками. Относительно него сказано, что «репутации банка может быть нанесен ущерб при обслуживании в рамках интернет-банкинга, если оно плохо организовано, не соответствует требованиям рынка или как-то иначе отталкивает клиентов и общественность».

Наконец, в части стратегического риска акцент сделан на том, что «возможно недостаточное осознание руководством рисков, связанных с применением интернет-банкинга, до принятия решения о внедрении этого вида деятельности. Возможно несоответствие технологии внедрения системы интернет-банкинга деловым целям в стратегическом плане и установленным границам для рисков. Возможны недостатки в уровне развития технологий и информационных систем управления для внедрения системы интернет-банкинга. Возможен недостаток ресурсов в банке для идентификации, мониторинга и контроля рисков в деловых операциях интернет-банкинга и нехватка квалификации персонала. Требуется учет изменений, которые электронные финансовые технологии, такие как интернет-банкинг, вносят в конкуренцию».

Необходимо заметить, что анализ этого банковского риска также не совсем полон, тем более что из-за взаимного влияния рисков он также связан с другими: операционным, правовым и репутационным. Кроме того, акцент на технологии интернет-банкинга представляется несколько устаревшим, тем более что и во время выхода рассмотренного материала применялись разнообразные системы электронного банкинга; тем не менее все цитированное в американских условиях своей актуальности не утратило, а в отечественных такая актуальность постепенно возникает.

Возвращаясь к Письму 36-Т, надо сказать, что оно является первым документом, в котором проведен детальный анализ как собственно типичных банковских рисков, явно связанных с ДБО, так и подхода к организации ряда внутрибанковских процессов, не только непосредственно имеющих отношение к управлению рисками, но подлежащих модернизации в связи с изменениями в профиле риска кредитной организации, обусловленными ее переходом к ДБО. Вместе с тем этот документ являет собой первый пример того, как проблематика ДБО фактически вынуждает российские кредитные организации учитывать смещение своих профилей рисков, чтобы удерживать эти риски в допустимых пределах и тем самым предотвратить возможное негативное влияние их реализации на выполнение обязательств перед своими клиентами и Банком России как органом банковского регулирования и надзора. В этом документе выделены пять типичных банковских рисков, в структуре которых явно присутствуют компоненты технологического и технического характера, которые целесообразно учитывать в процессе УБР:

— операционный;

— неплатежеспособности (ликвидности);

— правовой;

— репутационный;

— стратегический.

Следует заметить, что этот перечень справедлив на время написания настоящей книги, и практические исследования подтвердили его адекватность ситуации, складывающейся в отечественном банковском секторе вместе с интенсивным внедрением и развитием кредитными организациями технологий электронного банкинга, однако он вполне может оказаться недостаточным по мере развития банковских информационных технологий.

К примеру, в число подлежащих дополнительному анализу типичных банковских рисков может войти страновой риск, если речь зайдет о трансграничном банковском обслуживании или так называемом оффшоринге. В одном из своих материалов БКБН делает на этом специальный акцент, хотя по состоянию на сегодняшний день только определена собственно предметная область, вследствие чего говорить

о каких-либо конкретных рекомендациях пока еще преждевременно, за исключением таких, как определения базовых принципов, служащих наиболее общими ориентирами[44]:

«Принцип 1: до того как начать деятельность в рамках трансграничного электронного банкинга, кредитной организации следует провести должное оценивание риска и принимаемых на себя обязательств, в результате которого в ней будет внедрена эффективная программа управления рисками данной деятельности.

<…>

Принцип 2: кредитной организации, собирающейся приступить к обслуживанию в рамках трансграничного электронного банкинга, следует разместить на своем web-сайте информацию, достаточную для того, чтобы ее потенциальные клиенты могли получить достоверные сведения об этой организации как юридическом лице, включая страну дислокации и лицензионные данные».

В основном в материалах такого рода обсуждаются вопросы учета несоответствия содержания законов о банковской деятельности разных государств, проблемы расследования подозрительной банковской деятельности, в которой участвуют коммерческие банки разных стран, и вопросы международного взаимодействия органов банковского надзора.

В любом варианте электронного банкинга, чтобы исключить факторы повышения уровней банковских рисков и неконтролируемые смещения их профилей из-за влияния на банковскую деятельность особенностей виртуального киберпространства, которое служит средой взаимодействия кредитных организаций со своими клиентами и контрагентами, в кредитных организациях целесообразно адекватно модифицировать подходы к управлению этими рисками. Это означает учет прежде всего невозможности непосредственного контроля человеком процессов, происходящих в любой компьютеризованной среде (включая телекоммуникационные системы), и отсутствия разработанного законодательства, которое регламентировало бы предоставление финансовых услуг в электронной форме, т. е. основных принципиальных проблем УБР, сопутствующих эксплуатации систем ДБО. Однако помимо них имеется еще значительное число проблемных вопросов, которые хотя и не являются принципиальными в условиях пруденциальной организации применения кредитными организациями ДБО, но становятся таковыми при отсутствии указанных условий, приводя к возникновению отнюдь не неизбежных источников компонентов банковских рисков.

В то же время эффективное УБР вряд ли возможно без полного понимания изменений, которые могут происходить в структурах типичных банковских рисков, и вызывающих их причин. Соответствующие описания целесообразно включать в такой внутрибанковский документ, как «Положение об управлении банковскими рисками» или аналогичный ему. Ниже приводятся с учетом положений Письма 36-Т некоторые соображения о том, с какими изменениями в указанных структурах могут сталкиваться кредитные организации, переходящие к ДБО.

2.3. Изменение профиля стратегического риска

Наиболее серьезные негативные последствия для кредитной организации, внедряющей какую-либо ТЭБ и соответствующую СЭБ, связаны с реализацией компонентов стратегического риска. Это нисколько не противоречит тому факту, что многие организации российского банковского сектора успешно прошли этапы внедрения и опытной эксплуатации систем ДБО, которые стали для них весьма прибыльными. Другое дело, что неудачные проекты, естественно, не приобретают известности, а не окупившиеся затраты на разработку сложных и дорогостоящих систем электронного банкинга становятся физической оценкой этого вида риска.

В общем случае компоненты стратегического риска связаны с возможными текущими и перспективными финансовыми потерями, обусловленными неправильными бизнес-решениями и (или) несоответствующей реализацией ключевых решений такого рода в кредитной организации, что приводит к невозможности достижения ею своих бизнес-целей и (или) чрезмерным затратам на внедрение и сопровождение используемых банковских технологий и автоматизированных систем. К ним относятся также неправильное распределение ресурсов, ошибки в выборе (способах, комбинации) видов предоставляемых банковских услуг, неадекватные принятым или планируемым бизнес-моделям технологические и организационно-технические решения, а также неоправданные вложения крупных средств в неперспективные проекты или банковские автоматизированные системы, ошибки, допущенные в маркетинговой, рыночной, конкурентной, технической политике и т. п. Важно учитывать также, что с этим видом банковского риска могут быть связаны все остальные четыре риска, которые рассматриваются здесь в приложении к технологиям электронного банкинга.

Такие связи неизбежно возникают и между компонентами стратегического риска, относящимися к ошибочным решениям. Тогда их негативный эффект может усилиться, поскольку сделанные в рамках проекта СЭБ затраты могут недостаточно контролироваться, особенно в тех случаях, когда неудачный проект затрагивает несколько внутрибанковских процессов и соответствующих структурных подразделений кредитной организации. Поэтому даже в тех случаях, когда преимущества нового бизнес-направления очевидны, нецелесообразно отказываться от типовых этапов внедрения автоматизированных систем, важнейшим из которых является подготовка и обсуждение технико-экономического обоснования (ТЭО). Тем не менее зачастую этот и другие связанные с ним документы в кредитных организациях просто отсутствуют, так что даже удачный проект может оказаться связан в итоге с существенными непредвиденными дополнительными расходами.

В зарубежной практике банковского регулирования и надзора считается уместным контролировать не только содержание планов информатизации (автоматизации) банковской деятельности, но также достаточность их обоснования и ход поэтапного выполнения, включая связанные с ними процедуры. Например, вновь внедряемая технология должна быть ориентирована на совершенно конкретную клиентуру, которая по данным, скажем, маркетинговых исследований воспользуется новыми сервисами, предлагаемыми кредитной организацией и реализуемыми с помощью той или иной СЭБ. Вместе с этим должны быть четко определены порядок ее внедрения, взаимодействия тех или иных специалистов кредитной организации с клиентами ДБО, вопросы поддержки со стороны сервис-центра, содержание возможной претензионной работы и т. д. Если речь идет о предполагаемом массовом продукте, то необходимо рассчитывать производительность СЭБ и БАС, организовать процедуры контроля динамики развития новых сервисов, роста клиентской базы и количества ордеров, поступающих в кредитную организацию, и пр.

Следует специально отметить, что при внедрении проектов электронного банкинга необходимо уделять внимание взаимным связям между внутрибанковскими процессами, без учета которых реализуются такие компоненты стратегического риска, которые нередко считаются косвенными или просто не учитываются. Например, внедрение СЭБ, реализующей принципы открытых систем и универсального протокола сетевого взаимодействия, приводит к необходимости пересмотра периметра безопасности кредитной организации, который заметно расширяется и вместе с клиентом ДБО «уходит за горизонт» и принятию серьезных новых мер по его защите, а также по контролю использования ТЭБ. На том и другом всегда делается акцент зарубежными органами банковского регулирования и надзора[45], о чем пойдет речь в параграфе, посвященном адаптации УБР. Между тем вносить изменения в связанные внутрибанковские процессы следует согласованно и не упуская из виду суть происходящих изменений, поскольку неадекватность организации процесса ФМ может привести к тому, что внедрение дорогостоящей СЭБ негативно скажется на «имидже» кредитной организации в глазах правоохранительных органов и неожиданно окажется стратегической ошибкой.

Уже этих примеров достаточно для того, чтобы охарактеризовать многообразие проявлений стратегического риска, особенно в связи с другими банковскими рисками. В этом плане недостаточная, с точки зрения клиентов кредитной организации функциональность банковских автоматизированных систем и (или) систем электронного банкинга, равно как неудобство в работе с ними, приводит, как правило, к негативной реакции пользователей СЭБ, которые либо отказываются от предлагаемых сервисов, либо переходят на обслуживание в другую кредитную организацию. Это приводит к неокупаемости такой автоматизированной системы по причинам репутационного плана, но результат всегда один, и только в лучшем случае он связан для кредитной организации с упущенной выгодой.

В российской практике электронного банкинга, пусть и не такой продолжительной, уже было немало случаев просчетов даже по приведенному выше небольшому перечислению проблемных вопросов. Типичная ситуация, связанная с реализацией компонентов стратегического риска, может развиваться как неумышленная атака типа «наводнение» (flood-attack), при этом ее причинами становятся и недостаточная производительность БАС и СЭБ, и отсутствие контроля характеристик динамики ДБО, и ошибки в расчетах требуемой пропускной способности каналов (линий) связи.

В качестве одного из примеров такого рода можно привести историю, произошедшую не так давно с российской кредитной организацией, в свое время являвшейся одним из лидеров ДБО: после того как в какой-то момент времени к ее системам электронного банкинга одновременно подключились около тысячи клиентов, направляемые ими ордера вызвали перегрузку производственных мощностей и организация была вынуждена остановить ДБО. Следствием этого, также непредвиденным, стало массовое обращение клиентов в ее сервис-центр, который не был рассчитан на такую нагрузку, так что получить объяснения относительно прерываний в обслуживании большинству клиентов оказалось невозможно. Этой кредитной организации пришлось в авральном порядке несколько дней заниматься техническим перевооружением, чтобы избежать реализации правового и репутационного рисков, но компоненты стратегического риска уже реализовались в незапланированных расходах на осуществление технической реорганизации. Всего этого можно было бы избежать, если бы в организации были бы заблаговременно приняты организационно-технические меры по оперативному (или, если не в режиме реального времени, то регламентному) контролю производительности банковских автоматизированных систем и приведению ее в соответствие с потребностями клиентов ДБО.

Аналогичная ситуация, но связанная уже с компонентами правового риска, возможна, если функциональные характеристики СЭБ и поддерживающей ее БАС недостаточны для гарантированного обеспечения информационной безопасности. При этом просчеты нередки не только из-за того, что имеются неконтролируемые информационные сечения между теми или иными системами и подсистемами в кредитной организации или в ИКБД, но часто из-за того, что не прогнозировались ошибки, допускаемые клиентами.

Руководству кредитной организации, принимая решение о переходе к ДБО через открытые системы (в том числе — через Интернет), целесообразно, по сути, провести некоторые специализированные исследования, в том числе в части оценки зависимости этой организации от «третьих лиц», присутствующих в ИКБД, прежде всего от провайдеров разного рода. Организация отношений с ними также может относиться к стратегическим решениям, так как известно, скажем, немало примеров сетевых атак, ориентированных на финансовые учреждения, но осуществлявшихся через компьютерные системы других компаний. Такая атака типа «распределенный отказ в обслуживании»[46] имела место и в отношении уже упоминавшейся кредитной организации, причем обращение ее специалистов к провайдерам с просьбой помочь парировать ложный трафик нашли отклик далеко не у всех таких компаний. Те, кто отказался помочь, ссылались на контрактные обязательства, которые касались только обеспечения конкретных каналов (линий) связи, их пропускной способности, поддержки серверов и т. п., но не содействия в организации сетевой защиты и участия в ней. В итоге этой кредитной организации пришлось пересматривать, а точнее, строить заново свою «политику отношений» с провайдерами. Кстати, это до настоящего времени «больной» вопрос для многих кредитных организаций, особенно тех, кто работает в условиях недостаточно развитой региональной инфраструктуры и отсутствия конкуренции между различными провайдерами (но тем не менее берется за ДБО!).

Таким образом, возможны существенно различные сценарии возникновения угроз надежной банковской деятельности в части компонентов стратегического риска, связанных с применением ДБО, и такие сценарии целесообразно рассматривать, разрабатывая модели потенциальных угроз эффективной реализации ключевых решений, принимаемых руководством кредитной организации по направлению внедрения информационных технологий. Тем более принятию недостаточно продуманных руководящих решений в части перехода к ДБО должно препятствовать ТЭО (почему это в основном и важно). Впрочем, следует заметить, что разработка систем поддержки принятия решений или, как иногда говорят, информационных систем управления[47] пока не стала распространенной практикой в российском банковском секторе.

2.4. Изменение профиля операционного риска

Причины, приводящие к возникновению компонентов операционного риска при ДБО, наиболее разнообразны по сравнению с другими видами банковских рисков. От них зависят возможные текущие и перспективные финансовые потери, обусловленные ошибками при выполнении банковских операций (что может привести к неправильной реализации учетных и расчетных процедур), мошенническими действиями в отношении кредитной организации (включая несанкционированные транзакции, хищения финансовых средств в электронной форме и пр.), нарушением непрерывности (доступности) и (или) переходом автоматизированных систем кредитной организации, используемых для осуществления банковской деятельности, в «нештатные» режимы функционирования (вследствие возможных аварий, отказов и сбоев оборудования как самой кредитной организации, так и ее провайдеров, в каналах связи и т. п., из-за чего возможны потери клиентских транзакций, данных и невыполнение ею обязательств перед своими клиентами). К этому же примыкают случаи несанкционированного сетевого доступа злоумышленников к информационно-процессинговым ресурсам кредитной организации.

Независимо от того, что именно является причиной нарушения штатного функционирования банковских автоматизированных систем кредитной организации и ее систем электронного банкинга, результатом этого всегда будет являться невыполнение ею тех или иных взятых на себя перед клиентами ДБО обязательств, т. е. снижение ее надежности по причине невыполнения положений соответствующих договоров. Базовых обязательств такого рода пять — они относятся к следующим понятиям:

— доступность обслуживания (непрерывности функционирования);

— состав функций («полнофункциональность»);

— финансовые операции (денежные обязательства);

— временные характеристики (своевременность обслуживания);

— конфиденциальность информации (информационная безопасность).

Только выполнение всех перечисленных обязательств без каких-либо отклонений от установленных договорами уровней обслуживания (в отношении клиентов) при дистанционном предоставлении банковских услуг свидетельствует о надежности как банковской деятельности, осуществляемой кредитной организацией, так и ее самой (впрочем, как показывает практика, в текстах таких договоров подобное перечисление можно встретить крайне редко). Речь здесь идет, естественно, о технологической и технической стороне понятия надежности[48].

Вследствие этого наличие или отсутствие разнообразных источников компонентов операционного риска зависит и от того, как кредитная организация решает «типовые» вопросы обеспечения надежности функционирования компьютерного оборудования, и от решения ею специфических для ДБО вопросов. В различных источниках, отечественных и зарубежных, приводятся статистические данные относительно влияния угроз штатному функционированию компьютерных систем на этот показатель банковской деятельности: в среднем можно считать, что 60 % случаев прерываний бизнеса обусловлено сбоями в работе автоматизированных систем организаций. При этом наиболее частой общей причиной сбоев в их работе считаются внедрение или изменение информационных технологий и (или) программных приложений, которые не были:

— правильно спланированы (включая «откат» в исходное штатное состояние);

— полностью протестированы (включая модели и сценарии развития угроз).

Прерывания функционирования автоматизированных систем в целом обусловлены различными ошибками/сбоями в соотношении:

— технологические сбои — 20 %;

— ошибки процессов — 40 %;

— ошибки персонала — 40 %.

Все перечисленное здесь наглядно характеризует степень зависимости результатов современной банковской деятельности от надежности компьютерных систем кредитной организации, что должно полностью осознаваться ее руководством и адекватно учитываться при распределении ресурсов. Для многих средних и небольших организаций выделение достаточных ресурсов на обеспечение надежности внедряемых банковских информационных технологий становится непростой задачей, если такие технологии, как ДБО, внедрялись недостаточно обоснованно, или в силу недостаточного осознания значимости указанных технологий и реализующих их автоматизированных систем финансирование осуществляется по «остаточному принципу».

Ошибки при выполнении банковских операций — явление уже относительно редкое, в этом случае имеются в виду преимущественно неточности, связанные с информационными сечениями ИКБД, в которых происходит какой-то перенос данных из одной среды хранения в другую (ошибки операционистов кредитной организации или клиентов при заполнении интерфейсных полей, преобразование форматов, переписывание из одной базы данных в другую и пр.). Тем не менее если СЭБ и БАС совместно с ней не подвергаются тщательным испытаниям (включая результаты неправильных действий пользователей), то все непроверенные варианты будут «проверены» уже в реальной эксплуатации этих систем[49], что приведет к неизбежным дополнительным затратам на поиск пропавшего контента ордеров клиентов, отладку программно-информационного обеспечения этих систем, лишней претензионной работе и т. д. Во многих российских кредитных организациях подобные ситуации не редкость, особенно когда речь заходит о противоправной деятельности, связанной с искажениями в полях записей баз данных кредитной организации или хищением средств со счетов клиентов, что обычно происходит из-за недостатков в обеспечении информационной безопасности.

Последнее может иметь место в тех случаях, когда в СЭБ и (или) БАС остаются «лазейки», позволяющие осуществлять несанкционированный доступ (НСД) к массивам данных и банковскому программному обеспечению. В ряде практических случаев такого рода операторы, находящиеся в информационных сечениях между СЭБ и БАС, располагают возможностями, к примеру, подмены реквизитов платежных документов клиентов ДБО или имитации поступления от них соответствующих ордеров[50] и т. п. Кстати, даже такой НСД к информационно-процессинговым ресурсам кредитной организации, который не приводит к чьим-либо финансовым потерям, вполне может обернуться утечкой конфиденциальной информации, а прямым следствием этого станут опять-таки хищения денежных средств, возникновение возможностей для шантажа клиентов или более серьезные последствия для них, поскольку в условиях криминализованной экономики сведения о банковских операциях «и других сделках» могут оказаться более значимыми, чем суммы денег, фигурировавшие в скомпрометированных транзакциях.

Что касается нарушений непрерывности функционирования (доступности) автоматизированных систем кредитной организации и (или) переходов в «нештатные» режимы функционирования, а также сбоев в каналах (линиях) связи, то следствием их могут являться и прерывания сеансов ДБО с потерей или искажением клиентской информации, и невозможность выполнения финансовых и других обязательств кредитной организацией перед клиентами, и в наихудшем случае несанкционированные списания средств с их счетов и другие негативные явления. То же самое с учетом вирусных, сетевых и хакерских атак[51] можно отнести к распределенным компьютерным системам провайдеров кредитной организации и т. п.

Последние годы характеризуются множеством случаев разнообразных атак на системы электронного банкинга и банковские автоматизированные системы кредитных организаций. Упоминавшаяся выше атака типа «отказ в обслуживании» изначально организовалась с помощью программ, осуществлявших генерацию очень большого количества запросов, передаваемых через вычислительные сети на сервер — объект атаки, обычно в короткие интервалы времени. Тем самым превышалась производительность сервера и он прекращал функционирование, «не в силах» справиться с таким количеством запросов[52]. В современных условиях применяется «распределенный» вариант этой атаки, осуществляемой через промежуточные сетевые компьютерные системы с целью многократного усиления негативного эффекта (повышения «мощности атаки»). Для этого могут использоваться ложные сетевые обращения (ping[53]), программы-черви (worm), распространяющиеся по вычислительным сетям и инсталлирующиеся на каждом доступном АРМ, чтобы в заданный момент времени начать генерацию ложных запросов, и пр. Это происходит в фоновых режимах, почему задействованные компьютеры иногда называются «зомби», а сеть, которая из них состоит, — «ботнет»[54]. На рисунке 2.2 показана общая схема сетевых атак рассматриваемого типа (представляющая собой модифицированный рисунок из книги Crume /. Inside Internet Security).

Возвращаясь к проблемам применения кредитными организациями информационных технологий (ИТ), надо отметить, что нередко незначительным или даже не существующим источником компонентов операционного риска их специалисты считают процедуры оперативного внесения небольших по масштабам изменений в программно-информационное обеспечение ДБО и БАС (упоминавшихся выше «заплаток»). Такая необходимость возникает обычно в тех случаях, когда:

— клиенты кредитной организации совершают действия, непредусмотренные алгоритмами, реализованными в автоматизированной систем, что приводит к непредсказуемым результатам («зависанию» и пр.);

— функционирование принятой в эксплуатацию автоматизированной системы не совпадает с ее техническим проектом, так что требуется оперативная доработка отдельных функциональных модулей;

— выявляются ошибки в проекте автоматизированной системы и требуется ее временный вывод из эксплуатации (отключение сервисов) для перепрограммирования, перенастройки отдельных модулей и т. п.;

— автоматизированная система оказывается скомпрометирована сетевыми или вирусными атаками, действиями хакеров или инсайдеров кредитной организации, из-за чего требуется ее усовершенствование.

Все перечисленные причины, за исключением последней, служат, как правило, признаками недостаточно полного тестирования БАС и СЭБ. Однако, поскольку сложившуюся ситуацию всегда необходимо оперативно исправлять, специалисты кредитной организации вынуждены принимать экстренные меры по устранению недостатков, внедряя в автоматизированную систему программные или библиотечные модули, нередко написанные наспех, не прошедшие типовых процедур проверки и приемо-сдаточных испытаний и содержащие ошибки, потому что отсутствие оперативности играет в таких случаях негативную роль. Для кредитной организации следствием такого «подхода», не соответствующего принятой инженерной практике разработок, всегда становятся новые источники компонентов этого риска.

Любое упомянутое выше мошенничество, несанкционированное вмешательство, функциональный сбой или отказ (т. е. нарушение штатного режима работы) компьютерных систем (неважно по какой причине) повлекшие за собой невозможность получения клиентом установленного договором на ДБО сервиса или выполнения им своих финансовых обязательств перед третьими сторонами, связано с возникновением компонентов как минимум правового и репутационного рисков, а в некоторых случаях риска неплатежеспособности и стратегического риска (имеется в виду негативная общественная реакция). Реализация компонентов операционного риска изначально становится возможна преимущественно (хотя и не только) по причине несоблюдения установленных когда-то государственными стандартами (начиная с ГОСТ 34.602-89) порядков разработки автоматизированных систем — неважно, банковских или нет, а потребовать этого (и проследить за исполнением) в кредитной организации оказалось некому, и это становится для нее еще одним существенным фактором операционного риска. Кстати, такие стандарты утверждались как раз для того, чтобы автоматизированные системы работали так, как требуется, а не так, как получится.

2.5. Изменение профиля правового риска

Повышение уровня правового риска приводит к возможным финансовым потерям, являясь следствием возможных нарушений кредитной организацией положений нормативно-правовых документов, которые регламентируют банковскую деятельность, и (или) законодательной неопределенности отдельных аспектов предоставления банковских услуг. Реализация компонентов этого риска имеет форму санкций, которые могут быть наложены на кредитную организацию за нарушение ею правил выполнения банковских операций, несоответствие требованиям ведения бухгалтерского учета и, как следствие, недостоверность банковской отчетности, за потерю значимых банковских данных, утечку конфиденциальной банковской и (или) клиентской информации, включая нарушение банковской тайны, возможную скрытую противоправную деятельность, в которую оказывается вовлечена кредитная организация из-за слабого контроля использования ее СЭБ, а также за недостатки, обусловленные несовершенством организационно-технического, аппаратно-программного или же программно-информационного обеспечения банковской деятельности, как самой кредитной организации, так и ее провайдеров, что может вызывать претензии со стороны клиентов ДБО.

Первой же задачей, подлежащей решению при внедрении кредитной организацией любой ТЭБ, становится серьезное усиление «общебанковских» функций управления и контроля с тем, чтобы особенности СЭБ, реализующей конкретную технологию, не вызвали сомнений у контролирующих органов в выполнении правил бухгалтерского учета и подготовке регламентной отчетности (в широком смысле). Кредитной организацией должна быть гарантирована фиксация в базах данных и правильная обработка всех ордеров клиентов, которые имеют отношение к этим процедурам, независимо от канала ДБО и информационных сечений между системами электронного банкинга и БАС кредитной организации. К отмеченному тесно примыкают проблемы обеспечения доказательной базы электронного банкинга и обеспечения юридической силы так называемых «электронных документов», которые в традиционной форме не существуют, а их распечатки также требуют удостоверения подлинности (эта проблематика еще будет подробно обсуждаться в других разделах, в том числе в плане организации последующей претензионной работы в части ДБО).

Далее целесообразно предусмотреть возможности нарушения непрерывности функционирования ИКБД (неожиданное прекращение сеанса ДБО) в плане вероятных правовых последствий реализации соответствующих компонентов операционного риска (еще одного варианта проявления взаимного влияния банковских рисков). Здесь возникает несколько основных вопросов, подлежащих рассмотрению специалистами кредитной организации:

— организация оперативного предоставления клиенту другого маршрута или варианта ДБО (в случае недоступности системы или прерывания сеанса, к примеру, интернет-банкинга это может быть другой web-сайт или вообще другая СЭБ);

— оперативная реализация соответствующего ситуации раздела плана действий на случай чрезвычайных (иногда говорят «непредвиденных») обстоятельств, для чего требуется наличие схем резервирования и резервных ресурсов, отработанное распределение обязанностей и т. п.;

— включение в текст договора с клиентом на ДБО положений, определяющих порядок действий сторон в форс-мажорных обстоятельствах, их обязанности, ответственность, порядок разрешения спорных ситуаций и компенсации потенциального ущерба интересам клиента и т. п.;

— организация оперативного восстановления массивов банковских и клиентских данных, целостность которых может оказаться нарушенной из-за прерывания сеанса ДБО, для чего требуется формирование и поддержание соответствующего архива и порядок его использования;

— включение в текст контрактов с провайдерами, от которых зависит непрерывность функционирования ИКБД, положений, устанавливающих порядок действий сторон в форс-мажорных обстоятельствах, их обязанности, ответственность, порядок разрешения спорных ситуаций и компенсации ущерба.

Точный перечень указанных вопросов, связанных с компонентами правового риска, как и для операционного риска, определяется специалистами кредитной организации с учетом специфики ее БАС, систем электронного банкинга, видов провайдеров, состава услуг, предоставляемых в рамках ДБО, возможных сетевых и вирусных атак, средств защиты от них и т. п.

Потенциальное влияние тех компонентов правового риска, которые сопутствуют компрометации банковских информационных ресурсов, обусловлено недостатками в обеспечении информационной безопасности кредитной организации. Они могут иметь место из-за новизны/ сложности ТЭБ или недостаточного освоения внедренной в ней СЭБ. На практике его причины кроются в неполноте предусмотренных моделей и сценариев развития угроз, предполагаемых для конкретного ИКБД, связанного с этой технологией. Одним из наиболее серьезных факторов риска при этом является квалификационный «разрыв» между специалистами подразделений ИТ и обеспечения информационной безопасности кредитной организации: первые отвечают за непрерывность и функциональность БАС и СЭБ и могут не располагать полным знанием сопутствующих последней из них угроз, последние же могут не полностью представлять технические механизмы реализации этих угроз. Результатом становятся «дыры» в периметре безопасности кредитной организации, который, кстати, в условиях электронного банкинга может приобретать весьма сложную форму — если эксплуатируется несколько разнородных систем ДБО и имеется несколько видов пользователей их и БАС.

Действие упомянутого разрыва проявляется не только в несоответствии квалификаций. Часто во избежание этого в условиях бюджетных и ресурсных ограничений практически все полномочия системного уровня вынужденно концентрируются в подразделении ИТ кредитной организации. Это относится к таким специализациям, как администрирование банковских автоматизированных систем и систем ДБО, локальных вычислительных сетей, баз данных и информационной безопасности. Тем самым создается опасность чрезмерной концентрации системных полномочий в руках очень небольшого контингента высококвалифицированных специалистов. Подобная ситуация осложняется тем, что контролировать возможные негативные проявления так называемого «человеческого фактора» при этом становится практически невозможно (в организации отсутствуют независимые специалисты с сопоставимой или более высокой квалификацией в области ИТ, чем у таких «супер-админов»), так что не может идти и речи о выполнении принципа «четырех глаз»[55]. В условиях осуществления банковской деятельности в виртуальном пространстве это может оказаться весьма серьезным фактором и операционного, и правового, и репутационного, а вслед за ними и стратегического рисков (а для клиентов такой организации, как следствие, — риска неплатежеспособности по их счетам в какой-то момент).

Проблемы организационно-технического плана, приводящие к реализации компонентов правового риска в условиях ДБО, также разнообразны и варьируются от невыполнения клиентом платежей из-за того, что, как говорят, «платежка не прошла», до невозможности оплаты покупок через POS-терминал или получения денег через банкоматы из-за неполадок в обеспечивающей их функционирование ЗВС, к последнему варианту относятся также разнообразные «банкоматные» мошенничества с пластиковыми картами и несвоевременное денежное подкрепление. Причиной возникновения перечисленных угроз надежности банковской деятельности является недостаточный контроль со стороны специалистов кредитной организации работоспособности или безопасности обслуживаемых ею удаленных специализированных банковских терминалов. В свою очередь изначальным фактором риска может быть отсутствие адекватного потребностям ДБО внутреннего порядка в кредитной организации или контроля его выполнения.

К проблематике правового риска могут примыкать прямые или косвенные санкции со стороны тех учреждений, которые контролируют отдельные стороны банковской деятельности, не имеющие непосредственного отношения к выполнению банковских операций и не связанные с возникновением компонентов правового риска до внедрения технологий ДБО. Имеется в виду, что для защиты трафика между клиентом и кредитной организацией используются разнообразные средства криптозащиты. Не касаясь вопросов их достоинств, недостатков и надежности, следует отметить, что их использование (включая распространение среди клиентов ДБО) требует получения специальных разрешений у компетентных органов и сертификации. В последние годы активность проверок по указанным вопросам выросла и они оказались связаны для кредитных организаций с новыми компонентами правового риска. То же самое относится к проведению проверок соблюдения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2.6. Изменение профиля репутационного риска

Следствиями повышения репутационного риска являются возможные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения (нарушения) ею обязательств перед клиентами, что приводит к их потере, оттоку заемных средств и упущенной выгоде, судебным искам, появлению общедоступных сведений о нарушениях банковской тайны (конфиденциальности информации) и т. п. Причинами этого становятся недоступность, неработоспособность, неполная функциональность, ненадежность, небезопасность автоматизированных систем кредитной организации, включая хакерские воздействия на используемые ею web-сайты. Из-за реализации перечисленных угроз и связанных с ними компонентов банковских рисков происходят потеря (искажение) банковских и (или) клиентских данных (в том числе из-за отказов аппаратно-программного обеспечения как самой кредитной организации, так и ее провайдеров), компьютерные преступления, сетевые атаки.

Сказанное во многом относится к проявлениям операционного, правового и стратегического рисков, о чем уже говорилось выше и что характеризуется как взаимное влияние рисков, однако с репутационным риском связан еще один существенный аспект, обусловленный сложностью практического освоения технологий и систем электронного банкинга. Когда-то среди американских работников рекламы бытовала поговорка «А теперь давайте встанем на четвереньки и посмотрим на проблему с позиции клиента». Если привыкший к традиционному обслуживанию в операционном зале «средний» клиент ДБО не разберется с функционированием интерфейса предоставляемой ему СЭБ кредитной организации, не сможет управлять сеансом информационного взаимодействия (например в рамках интернет-банкинга), не получит требуемой ему информации или, что хуже всего, из-за своих ошибок потеряет какие-то денежные средства (в том числе и из-за нарушений информационной безопасности), то он, как правило, выскажет свои претензии в адрес кредитной организации, а то и доведет их до судебного разбирательства. При этом клиенту вряд ли придет в голову мысль, что он в чем-то не прав, невзирая на текст договора на ДБО.

Поэтому, если при заключении договора на ДБО сотрудники кредитной организации не потрудятся убедиться в понимании клиентом содержания этого документа (а другого ГК РФ, вообще говоря, не предусматривает), в том, что он понимает, допустим, как работает аналог собственноручной подписи (о котором сказано в ст. 160 ГК РФ, но требования к нему не определены, т. е. неясно, какое средство идентификации может считаться таковым, а какое нет), в освоении им интерфейса выбранной СЭБ, в понимании требований информационной безопасности и т. п., то впоследствии им придется выполнять существенно больший объем претензионной работы, чем в противоположном случае. Таким образом, речь идет о том, что об обеспечении необходимой и достаточной квалификации клиента можно не заботиться (что и встречается на практике), но тем самым кредитная организация только осложнит жизнь самой себе.

К повышению уровня репутационного риска ведут любые неудобства, которые испытывают клиенты ДБО при работе с СЭБ, начиная с запутанного интерфейса систем интернет-банкинга или малофункционального меню системы мобильного банка и заканчивая несанкционированным снятием денег с их счетов через банкоматы посредством так называемого «белого пластика» и других мошеннических приемов. Разнообразие вариантов хищений привело к тому, в частности, что Банк России начал выпуск своего рода письма-предупреждения для кредитных организаций и их клиентов (например, Письмо от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании»[56]). Негативная реакция клиентов на любой из таких вариантов может начинаться словами: «Почему вы меня не предупредили о том, что…» Можно привести и другие примеры, когда специалисты кредитной организации вынуждены объяснять клиенту, что его претензии относительно пропажи денег с его счета неосновательны, потому что он:

— не обеспечил должного ограничения доступа к своему АРМ, которое использовалось для ДБО, и с этого компьютера мог отправлять ордера кто угодно (а его идентификаторы могли быть написаны снизу на клавиатуре);

— хранил идентификационную информацию на жестком диске своего АРМ, с которого имеется доступ в Интернет, поэтому хакер смог осуществить взлом и скопировать ее, после чего похитил деньги со счета;

— сознательно перевел 500 000 руб. со счета, а не 5000 и не тому контрагенту, как утверждается в претензии, а то, что «залипла» клавиша или реквизиты платежа были подменены, — это не основания для возврата денег;

— передал свою пластиковую карту неустановленному лицу, которое вылетело в Лондон (Париж, Абу-Даби и т. п.) и там осуществило снятие денег через банкоматы и оплату покупок в дорогих бутиках, а сам ждал дома;

— скомпрометировал данные персональной идентификации, совершая покупки в интернет-магазинах, играя в интернет-казино или храня деньги в электронных кошельках;

— вообще сам во всем виноват и надо внимательно читать договор, в котором «русским по белому» написано, что PIN-код считается аналогом собственноручной подписи.

И тому подобное. При этом ни служба безопасности кредитной организации, ни специалисты по ИТ, ни сотрудники сервис-центра АРМ клиента никогда не видели, не знают, что он, допустим, доктор философии, а не компьютерщик, и оснований для возмещения исчезнувших средств, к сожалению, не имеется. Множество историй такого рода произошло с пользователями систем ДБО (www.banki.ru).

2.7. Изменение профиля риска ликвидности (неплатежеспособности)

Как уже кратко отмечалось ранее, риск ликвидности в условиях применения технологий электронного банкинга трансформируется в риск неплатежеспособности, приводящий к возможным финансовым потерям, обусловленным неспособностью кредитной организации своевременно и полностью выполнить свои финансовые обязательства перед клиентами из-за изменения характеристик управления ликвидностью в условиях открытого сетевого взаимодействия, проявления которого не всегда предсказуемы. Как правило, сам этот риск реализуется опосредованно через репутационный, правовой и стратегический риски, поскольку для него характерны такие явления, как непредвиденный отток средств, финансовые хищения в крупных размерах (включая несанкционированные переводы денежных средств), другие потери высоколиквидных активов, сбои и отказы в работе БАС, СЭБ и другого аппаратно-программного обеспечения, которое используется для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров, «стоящих на пути» в ИКБД, а также недостатки организационно-технического характера, следствием которых становится невыполнение кредитной организацией своих обязательств перед клиентами.

Простейшим примером является невозможность получения наличных денег в банкомате по причинам, обсуждавшимся выше, т. е. кредитная организация сама по себе остается абсолютно «ликвидна» и денег на так называемой «зарплатной карте» достаточно, однако получить их невозможно, потому что на дисплее устройства высвечивается надпись: «С вашим банком нет связи» или еще проще: «Выполнение операции невозможно. Извините» либо «Банкомат не работает», — конечно, без каких-либо объяснений, но кредитная организация оказывается в глазах клиента фактически неплатежеспособна, а на ее деловую репутацию влияют обстоятельства, в которых находится клиент ДБО (сказанное относится и к POS-терминалам).

В условиях ДБО клиент может взаимодействовать с кредитной организацией лишь опосредованно, через ИКБД, который ему «не виден», поэтому установить, по какой именно причине «не проходят» финансовые операции, клиент не в состоянии (тем более что оперативно связаться с кредитной организацией не всегда возможно). Вследствие этого возникают дополнительные компоненты упомянутых рисков, непосредственно ассоциируемых с риском неплатежеспособности, без учета которых при организации ДБО (в связи с потенциальными проблемами: аварийными ситуациями, сбоями в работе программного обеспечения различных компьютерных систем, сетевыми атаками, перекрывающими каналы связи или «подавляющими» процессинговые мощности, и другими) претензии клиентов ДБО неизбежны. В то же время предвидеть их возникновение и возможные последствия (варианты ущерба), причем в связи с конкретными факторами возникновения этих компонентов, сложно в отсутствие заранее разработанных сценариев, так что такие компоненты этого риска реализуются.

2.8. Возможности учета компонентов типичных банковских рисков

Вопрос проведения расчетов уровней банковских рисков в условиях отсутствия законченной теории их определения и анализа также остается до настоящего времени дискуссионным[57], тем более проблематично доведение его решения до точного учета влияния технологий электронного банкинга. В классических определениях собственно понятия банковского риска, которые можно найти в публикациях зарубежных органов банковского регулирования и надзора, также наблюдается некоторое несоответствие. Если обобщить такие определения, то можно сформулировать два его «интегральных» варианта. Один из вариантов использует своего рода абсолютное исчисление, и в такой трактовке базовое определение выглядит следующим образом: «Банковский риск — это возможный финансовый ущерб для капитала или доходов кредитной организации, который может иметь место вследствие ее банковской деятельности».

В рекомендациях зарубежных органов банковского регулирования и надзора[58] для отдельных видов банковских рисков определения такого рода обычно уточняются за счет указания состава негативных внутренних факторов, действующих в кредитных организациях, которые вообще приводят к возникновению источников банковских рисков.

С другой стороны, принципиально важным является то, что одни и те же негативные последствия могут по-разному влиять на финансовое состояние кредитных организаций ввиду различий в их размерах, масштабах и специфике банковской деятельности, структуре финансовых ресурсов и технологическом обеспечении выполнения банковских операций. Проще говоря, один и тот же по абсолютной величине убыток один банк не заметит, другой сможет парировать, а третий банк «не переживет». Следовательно, подчеркивают специалисты упомянутых учреждений, необходимо оценивать уровни банковских рисков в терминах их значимости для конкретных коммерческих банков (кстати сказать, только тогда уместно использование определений качественного характера, относящихся к оценкам уровней банковских рисков). При таком подходе обобщенная формулировка понятия банковского риска может быть представлена в другом интегральном виде, предполагающем использование уже относительной шкалы: «Банковский риск — это оценка значимости возможного ущерба финансовым ресурсам и доходам коммерческого банка, обусловленного применяемыми им способами ведения банковского дела».

Интересно отметить, что в рассматриваемых зарубежных материалах для определения собственно риска в подавляющем большинстве случаев используется первая формулировка, однако, когда речь идет об интерпретации выявляемых факторов риска в приложении к оценке ситуации в кредитной организации, семантика выводов полностью относится ко второму варианту.

Суть подхода от описанных выше различий в классификации рисков не изменяется и заключается в попытках качественного оценивания, точнее сказать, описания степени или «серьезности» возможного финансового ущерба, который может быть нанесен коммерческому банку. При этом вводятся от трех до пяти градаций степени или уровня оцениваемого риска. Ниже приведена таблица определений уровней агрегированного риска, устанавливаемых в указанных источниках по двум «осям координат» — оценок уровней типичных банковских рисков и качества управления этими рисками (табл. 2.1).

Таблица 2.1

В оригинале использованы понятия: Lowest, Low, Moderate, High, Highest

Для выбора подходящей оценки используются совокупности экспертных заключений по «параметрам» деятельности руководства кредитной организации по разным бизнес-направлениям, от которых зависят и состав подмножества источников, и влияние компонентов типичных банковских рисков[59].

Учет всех источников компонентов типичных банковских рисков при использовании кредитной организацией множественных систем электронного банкинга может оказаться невозможным в силу их разнообразия и сложности структур задействуемых ею ИКБД, ЛВС или ЗВС, что подразумевает чрезмерные затраты ресурсов этой организации. Вследствие этого ее руководство вполне может согласиться с существованием незначительных по уровню компонентов банковских рисков, потенциальный ущерб от реализации которых будет оцениваться в меньшую сумму, чем затраты на их мониторинг и парирование. В этом случае может оцениваться так называемый «чистый риск», определяемый как разница между неизбежным риском, присущим самой банковской деятельности, и корректирующим эффектом, достигаемым в рамках внутрибанковского мониторинга уровней типичных банковских рисков и УБР (в том числе сотрудниками служб внутреннего контроля и аудита).

Однако здесь следует проявлять известную осторожность: такой подход может быть оправдан только проведением тщательного анализа потенциальных последствий существования «остаточных рисков» в ИКБД. Следует, кстати, отметить возможность резкого роста цены любых, даже незначительных на первый взгляд, нарушений целостности банковских данных, которые могут лавинообразно тиражироваться в базах банковских данных и клиринговых системах. Важно отметить, что процедуры УБР осуществляются именно в отношении источников риска, а не самих рисков, поскольку в такой абстрактной формулировке исчезает физический смысл процесса, из-за чего и возникают разногласия между авторами публикаций по этой тематике.

Глава 3

Жизненные циклы банковских автоматизированных систем и внутрибанковских процессов

Все, что делалось до сих пор, было недоразумением.

С. Лем. «Звездные дневники Ийона Тихого»

Технологический и технический прогресс в сфере банковской деятельности, выражающийся во внедрении разнообразных технологий электронного банкинга, обусловливает тенденцию к их интенсивному развитию вследствие того, что:

удобство и оперативность получения банковских услуг, обеспечиваемые системами электронного банкинга, предполагают очень быстрое расширение клиентской базы ДБО и лавинный рост количества клиентских ордеров (на выполнение операций, получение информации и т. д.);

универсальные кредитные организации стараются охватить ДБО максимально возможное количество предлагаемых ими банковских услуг (с учетом ограничений, налагаемых законодательством и подзаконными актами, регламентирующими банковскую деятельность[60]);

условия конкуренции ориентируют кредитные организации на продолжение развития ДБО, внедрение новых его вариантов (многоканальных), предложение дополнительных видов банковских услуг и внедрение систем электронного банкинга, поддерживающих их предоставление.

Кроме этого, общий курс Правительства России на расширение обеспечения банковскими услугами населения страны, включая отдаленные регионы, будет одновременно способствовать внедрению и развитию все новых вариантов ДБО. Это в свою очередь потребует от высокотехнологичных кредитных организаций углубленного анализа потребностей своих реальных и потенциальных клиентов, меняющихся условий конкуренции, достоинств и недостатков банковских информационных технологий, а также сопутствующих им факторов и источников компонентов банковских рисков, которые подлежат учету во внутрибанковских процессах, начиная с процесса УБР.

Также следует отметить, что в Стратегии развития банковского сектора Российской Федерации на период до 2008 г. в качестве одной из основных задач было указано «развитие содержательных (риск-ориентированных) подходов, включающих оценку деятельности кредитных организаций и применение мер надзорного реагирования исходя прежде всего из содержания и реальной оценки рисков банковской деятельности с позиций их потенциального влияния на устойчивость кредитных организаций…» Решение этой задачи предполагало в том числе «совершенствование банковского надзора за деятельностью кредитных организаций… включая анализ рисков, возникающих у кредитных организаций в рамках взаимоотношений с юридическими и физическими лицами». В свою очередь в последние годы упомянутые взаимоотношения базируются и реализуются преимущественно на технологиях электронного банкинга, вследствие чего применение таких технологий стало требовать адекватного риск-ориентированного анализа[61].

Современные тенденции в развитии ДБО неизбежно окажут влияние на функционирование подавляющего большинства российских кредитных организаций, причем этот процесс на самом деле уже набирает силу, о чем свидетельствует статистика, получаемая по регламентной банковской отчетности[62]. Вследствие этого можно предположить, что технологии электронного банкинга начнут уже в ближайшем будущем превалировать на отечественном рынке финансовых услуг (подтверждением чему в свою очередь также стало широкое распространение разнообразных платежных систем и систем так называемых «электронных денег»), а значит, руководителям кредитных организаций скорее всего придется перестраивать свои бизнес-процессы с учетом этих перспектив. Впрочем, как будет показано ниже, это все равно практически необходимо для поддержания надежности и устойчивости[63] кредитных организаций, осваивающих ДБО, потому что его спецификой стали виды и способы информационного взаимодействия кредитных организаций с их клиентами в процессе банковского обслуживания наряду с новыми условиями, в которых это взаимодействие реализуется (имеется в виду ИКБД).

Сказанное выше относится к внесению изменений в любые банковские информационные технологии (в связи как с внедрением новых, так и с модификацией действующих). И дело здесь не только в электронном банкинге как таковом, но и, что не менее важно, в тех информационных системах, которые используются органами управления кредитной организации для принятия стратегических и тактических решений относительно предложения новых сервисов и расширения клиентской базы. Что касается именно ДБО, то применение соответствующих технологий предполагает прежде всего учет тех особенностей, которые сопутствуют или же могут сопутствовать их внедрению и применению в плане контроля над уровнями типичных банковских рисков. Для этого требуется понимание сути происходящего во вновь формируемом киберпространстве ИКБД вместе с организацией управления не всегда очевидными виртуальными процессами (а это изменение бизнес-модели как таковой) и обеспечением полноты, своевременности и адекватности контроля над использованием новых банковских информационных технологий и реализующих их автоматизированных систем.

Пересматривать внутрибанковские процессы при использовании технологий электронного банкинга целесообразно для того, чтобы управление и контроль, становящиеся в известной мере специфическими, во-первых, были явно ориентированы на технологии такого рода, во-вторых, оставались адекватны пруденциальным принципам банковской деятельности и, в-третьих, чтобы собственно банковская деятельность оставалась управляемой и подконтрольной. Принципиально важным является то, что, какими бы ни были технологические нововведения в банковской деятельности, они не должны оказывать негативного влияния на выполнение кредитными организациями банковских операций, равно как на надежность, устойчивость и безопасность этих организаций (в двояком смысле: как их самих, так и в отношении интересов их клиентов). То же самое относится и к защите интересов клиентов кредитных организаций, и к выполнению последними взятых на себя конкретных обязательств (доступность дистанционных сервисов, «обещанная» клиентам полнофункциональность, своевременность предоставления услуг, выполнение финансовых обязательств). Наконец, внедрение в банковскую практику тех или иных систем ДБО не должно приводить к нарушениям полноты и целостности, с одной стороны, функций внутреннего контроля в кредитных организациях и аудита (как внутреннего, так и внешнего), с другой стороны, банковского (или в широком смысле — финансового) контроля над банковской деятельностью в киберпространстве.

Уместно отметить также существенные особенности в информационном обеспечении (или поддержке принятия) решений относительно внедрения и применения технологий ДБО. Зачастую представители высшего руководства кредитных организаций имеют достаточно отдаленное представление о том, как конкретно, технически реализуется «электронный банкинг» в каждом из уже достаточно многочисленных своих вариантов и как реализующие его процессы могут сказаться на результатах и эффективности банковской деятельности в целом. В итоге органы управления кредитной организации вынуждены работать в условиях отсутствия необходимой информации как о собственно той или иной технологии ДБО (а такая информация, как правило, вообще сложна для восприятия при отсутствии соответствующей ей специальной квалификации), так и о том, какие условия применения определенной технологии могут считаться пруденциальными. Очевидно, что дефицит информационного обеспечения управления кредитной организацией по этим двум главным вопросам может оказаться критическим для принятия эффективных решений, что особенно негативно может сказаться через далеко не всегда очевидные недостатки в организации и содержании УБР.

Результатом отмеченной неадекватности стало то, что внедрение технологий ДБО приводит к неконтролируемому, вообще говоря, смещению профилей ряда типичных банковских рисков, рассмотренных в предыдущей главе, и реализации их компонентов, связанной с нанесением ущерба кредитной организации и ее клиентам. При этом причины смещения профилей рисков, являясь преимущественно технологическими и организационно-техническими, оказываются далеко не всегда очевидными для специалистов в области банковского дела, а содержание смещений далеко не всегда понятно тем специалистам, которые отвечают за внедрение и развитие ИТ в кредитной организации (собственно за технологическое и техническое обеспечение банковской деятельности). Это первый из принципиально значимых квалификационных разрывов, которые негативно сказываются на технологической надежности кредитной организации при переходе ее к ДБО.

Здесь необходимо подчеркнуть, что в настоящее время без учета конкретных проявлений смещения профиля риска в условиях ДБО эффективное управление банковской деятельностью и контроль над ее осуществлением и результатами вряд ли возможны. Такой учет целесообразен в рамках процессного подхода в корпоративном плане, поскольку многие кредитные организации, как правило, поэтапно внедряют и одновременно (параллельно) используют по несколько достаточно разнородных, хотя и технологически схожих схем ДБО (интернет-банкинга, интернет-трейдинга, мобильного банкинга и т. п.), что предполагает также комплексный анализ влияния потенциально сопутствующих каждой из них негативных факторов (источников компонентов банковских рисков) на банковскую деятельность.

3.1. Процессный подход — базовые положения

Акцент на внутрибанковских процессах и на условиях, в которых они реализуются, не случаен: изучение использования кредитными организациями систем электронного банкинга свидетельствует, что результаты и эффективность применения новых, зачастую достаточно сложных технологий ДБО, которые базируются на распределенных компьютерных системах, сети Интернет, мобильных компьютеризованных устройствах, телекоммуникационных сетях и т. п., непосредственно зависят от условий, в которых технологии такого рода применяются. То же самое относится к парированию влияния источников банковских рисков, непосредственно связанных с такими способами обслуживания клиентов. Важно отметить также то, что при этом далеко не все руководители кредитных организаций осознают возможное влияние технологий ДБО на выполнение утверждаемых ими стратегических планов и поддерживаемые в этих организациях бизнес-модели, ибо новые технологии электронного банкинга способны существенно изменить условия их реализации, повышая уровни типичных банковских рисков. Поэтому при внедрении конкретного варианта ДБО целесообразно изначально определить его специфику именно из этих соображений, причем не просто как очередной новой технологии, реализуемой через компьютерные и телекоммуникационные системы нового поколения, но и переводящей банковскую деятельность в «виртуальное пространство» практически без каких бы то ни было ограничений. На этом целесообразно сделать акцент и при пересмотре подходов к модернизации процесса УБР, его описания и содержания, а также к распределению обязанностей и ответственности за его реализацию между исполнительными органами и рядом структурных подразделений кредитной организации, перечисляемых в параграфе 3.2.

Само отсутствие подобного учета может обусловить реализацию банковских рисков — вероятностных по сути событий — и обращение их в реальные финансовые потери, причем именно из-за неосознаваемого повышения этой вероятности (если в кредитной организации относятся к своим компьютерным технологиям без должного внимания). Поэтому руководству кредитной организации логично было бы при принятии решения о переходе к ДБО задумываться не только о ТЭО любого из возможных его вариантов (что само по себе в отечественном банковском секторе встречается нечасто), но и о ресурсной базе процесса УБР с точки зрения оценки ее достаточности. Не исключено, что ее негативная оценка окажется весомым аргументом в пользу либо отказа от такого решения, либо реализации его только после накопления достаточных ресурсов в части административных и организационно-технических решений, персонала подразделений кредитной организации, его совокупной квалификации и т. п. Впрочем, последние годы функционирования российского банковского сектора отмечены тенденцией как к повышению качества корпоративного управления в кредитных организациях, так и к поиску путей его дальнейшего совершенствования, что (как показывает и зарубежная практика) при использовании процессного подхода существенно облегчается.

В последнее время считается, что практически всю «организованную» деятельность людей, включая банковскую, можно представить в виде совокупности бизнес-процессов. По определению, бизнес-процесс[64] — это устойчивая, целенаправленная совокупность взаимосвязанных видов деятельности (последовательность работ), которая по определенной технологии преобразует некие входные ресурсы в выходные, представляющие ценность для потребителя. Тогда управление практически любой организацией, имеющей конкретные цели своей деятельности, стратегические планы их достижения и определенные функции, выполняемые для реализации таких планов, может быть представлено как управление бизнес-процессами (точнее, их совокупностями, поскольку без взаимосвязей между основными процессами в любой сколько-нибудь сложной работе не обойтись). Для этого необходимо в первую очередь составить функциональное описание деятельности той или иной кредитной организации в целом, затем определить функциональные процессы, составляющие эту деятельность, и, далее, следуя иерархическому принципу, определить базовые процедуры, составляющие процессы, и подмножества операций, из которых складываются эти процедуры. В ряде относительно простых случаев процессное описание можно даже не доводить до операций, хотя к банковской деятельности это, конечно, не относится.

В рамках процессного подхода требования предъявляются не столько к качеству банковских продуктов напрямую, сколько к системе организации управления банковским бизнесом (по аналогии с международными стандартами серии ISO 9000). Такой подход можно считать следствием, с одной стороны, назревшей необходимости совершенствования корпоративного управления (особенно в многофилиальных структурах), а с другой стороны, отражением современных мировых тенденций в банковской сфере. В наиболее общем случае считается, что успех любой организации (учреждения, фирмы) в значительной степени прямо связан с ее структурой и конкретными компонентами организационной структуры — это классика. Естественно, вся деятельность начинается с установленных стратегических целей и некоей стратегии их достижения, реализуемой совокупностью деловых процессов. Вот это то, что традиционно уходило на второй план, хотя, впрочем, было оправдано своего рода «примитивностью» бизнеса и условий его осуществления. Теперь полагают также, что в оптимальном варианте осуществления сколько-нибудь сложной деловой активности структура организации должна определяться этими самыми процессами, которые можно описать с помощью так называемых «сбалансированных технологических карт». Эти карты создаются работой системы управления организации, которая сама формируется в соответствии с множеством правил реализации стратегии организации. А они в свою очередь находят свое непосредственное отражение как раз в тех самых бизнес-процессах. Оптимизация состава, содержания и «точек соприкосновения» (взаимного влияния) процессов составляет основу для роста эффективности деятельности того или иного учреждения в целом.

В рамках процессного подхода речь идет в основном о требуемом качестве продукта (услуги), которое трактуется как совокупность свойств, обусловливающих способность удовлетворять определенные потребности клиента в соответствии с его (ее) назначением, и определяется, вообще говоря, клиентом (потребителем результата процесса). В приложении к настоящему рассмотрению эти потребности выражаются теми пятью характеристиками надежности банковской деятельности, о которых было сказано в предыдущей главе. При управлении кредитной организацией, основанном на процессном подходе, наиболее эффективным образом реализуются концепции управления по целям (результатам) и клиент-ориентированного бизнеса, что позволяет рассматривать его как эффективное средство решения стратегических задач, стоящих перед конкретным банком и банковской системой в целом, особенно если оно осуществляется в том числе с позиций минимизации рисков, которым подвергаются клиенты организации.

Главное преимущество процессного подхода по сравнению с традиционным (функциональным) подходом заключается в непрерывности управления, которое обеспечивается им на стыке отдельных процессов в рамках системы, а также при их комбинации и взаимодействии. Последнее актуально как раз в отношении применения технологий электронного банкинга, которые могут использоваться как по централизованной схеме, так и по распределенной. Следует отметить, что последнее положение особенно важно для многофилиальных кредитных организаций, деятельность которых вместе с внедрением новых банковских информационных технологий может оказаться связана с возникновением дополнительных и не всегда просто контролируемых источников компонентов банковских рисков.

Сказанное заставляет задуматься о существе процессов, посредством которых реализуется значительная (и все более возрастающая) часть банковской деятельности. Лозунгом процессного подхода стала фраза: «Хочешь управлять бизнесом — управляй процессами!», и здесь уместно добавить: а для этого «знай все необходимые бизнесу процессы и их содержание», т. е. банковские технологии и реализующие их автоматизированные системы. Фактически полнота, адекватность и качество бизнес-процессов в кредитной организации начинают определяться соответствием их новому, упоминавшемуся выше принципу: «знай свои технологии», поскольку большинство внутрибанковских процессов реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами.

По-видимому, внесение изменений в используемые кредитной организацией технологии банковского обслуживания или предоставления банковских услуг требует радикальных инноваций сначала в «осознании» сути происходящего, а затем в содержании и организации внутрибанковских процессов. Безусловно, определяющим фактором при этом должно являться сохранение управляемости и контролируемости банковской деятельности, невзирая на ее переход в виртуальное пространство. Вопрос лишь в том, какие именно управленческие процессы необходимо разработать, внедрить, сопровождать и контролировать в таких условиях. При этом оказывается необходима разработка совершенно новых процессов, которых ранее, т. е. до изменения условий банковской деятельности, просто не существовало. Одним из примеров может служить потребность в организации такого внутрибанковского процесса при внедрении технологии интернет-банкинга: чтобы создавать и сопровождать web-сайты, используемые кредитной организацией в качестве информационных, коммуникационных или операционных представительств в Сети, а также контролировать их функционирование, уже требуется организация «взаимодействия» между целой совокупностью внутрибанковских процессов. Причем их состав и содержание взаимодействия различны при размещении web-сайта в самой организации, на аппаратно-программном комплексе его разработчика, у интернет-провайдера и т. п.

Соответственно полнота и точность описаний внутрибанковских процессов (официально документированных, чем, к сожалению, нередко пренебрегают) в связи с бизнес — процессами являются теми принципиально важными факторами, которые прямо влияют на результаты деятельности кредитной организации. При этом речь должна идти не только об ее основных, «находящихся на слуху», бизнес-процессах, но и о вспомогательных, обеспечивающих необходимые условия для эффективной банковской деятельности. Излишне говорить о том, что в условиях всеобщей компьютеризации банковской деятельности велика опасность образования разрывов в общих процессах управления и контроля в одной и той же кредитной организации, использующей разнообразные варианты ДБО (тем более вместе с филиалами), каждому из которых сопутствуют те или иные специфические подмножества источников компонентов банковских рисков, связанные с новыми их факторами.

Процессный подход может использоваться руководством (исполнительными органами) кредитной организации для осуществления как стратегического, так и оперативного управления. Одним из его достоинств является возможность интеграции в единой административно-организационной схеме интересов клиентов кредитной организации, ее самой, а также связей между ними и теми внутрибанковскими процессами, наличие которых представляется целесообразным в современных условиях банковской деятельности. За счет применения процессного подхода могут заметно увеличиваться экономические выгоды от применения технологий ДБО, что одновременно способствует оптимизации содержания и организации внутрибанковских бизнес-процессов в интересах снижения рисков, сопутствующих современной высокотехнологичной банковской деятельности. Такой подход к управлению кредитной организацией заключается прежде всего в систематической (определяемой этапностью внедрения новых информационных технологий) идентификации взаимосвязанных процессов и в согласованном управлении ими. Поэтому и требуется наряду с принятием решений о внедрении новых продуктов или услуг (видов обслуживания) определять, какие именно компоненты «общебанковских» процессов управления и контроля необходимо модернизировать либо разработать и внедрить, а также сопровождать и контролировать их реализацию уже в новых условиях банковской деятельности.

Здесь уместно отметить также существенные особенности в информационном обеспечении или поддержке принятия решений (ППР) относительно внедрения и применения технологий ДБО, т. е. дистанционного финансового посредничества. Представители высшего руководства кредитных организаций могут иметь достаточно отдаленное представление о том, как конкретно технически реализуется технология электронного банкинга в каждом из его вариантов, что представляет из себя ИКБД (тем более если он ни в каких внутрибанковских документах не описан, а решение о внедрении ТЭБ было принято по просмотру небольшой компьютерной презентации самого общего плана) и как реализующие его процедуры могут сказаться на эффективности и результатах банковской деятельности в целом, так как речь идет о весьма специфической области знаний. Дефицит информационного обеспечения управления кредитной организацией по этим двум вопросам может оказаться критическим с точки зрения ППР и принятия именно эффективных решений. Возможный вариант трактовки адаптации содержания внутрибанковских процессов к внедрению новой технологии ДБО приведен на рис 3.1.

Считается, что процессный подход не может быть эффективно использован, если вместе с описанием процессов не разработана некая шкала оценок, позволяющая определить, насколько адекватны внутрибанковские процессы деловым потребностям кредитной организации. Имеется в виду, что при внедрении процессного подхода необходима уверенность в результатах, которую может обеспечить только полноценный (адекватный) контроль над самим внедрением. Он же в свою очередь подразумевает периодическое сопоставление текущих результатов с предполагаемыми конечными (установленными стратегией, принятой для конкретной кредитной организации). Поэтому, как и во многих других подходах к внедрению решений системного характера, руководству кредитной организации также целесообразно установить такие критерии, которые позволили бы ему обоснованно судить как минимум:

о возможности описания функционирования кредитной организации в целом с помощью выделения внутрибанковских процессов;

степени «организованности» или, иначе, развития (совершенства) собственно внутрибанковских процессов;

содержании процессов в виде совокупностей (последовательностей) упорядоченных процедур (функций).

Поскольку процессный подход изначально предполагался для повсеместного использования без привязки к какой-либо конкретной предметной области человеческой деятельности (особенно допускающей ее автоматизацию), абстрагирование от вида этой деятельности оказалось необходимым условием. В то же время в силу этого возникли, как следствие, во-первых, методологическая обобщенность и, во-вторых, потребность в интерпретации для каждого вида деятельности как такового (в нашем случае в приложении к внедрению технологий электронного банкинга).

Поэтому результатом методических разработок стала шкала уровней (градаций), которую можно было бы определить как совокупность оценок качества организации конкретной деятельности, снабженных некими комментариями, поясняющими условия, которым соответствуют эти оценки. Одновременно считается, что при практической реализации процессного подхода в той или иной области, в учреждении (или на предприятии) становится принципиально важной адекватная трактовка таких комментариев в приложении к определенным направлениям их деятельности. Что касается практической интерпретации таких критериев в приложении к технологиям электронного банкинга (в плане анализа сопутствующих факторов и источников риска), то в каждом конкретном случае требуется своя проработка на основе анализа состава и функционирования ИКБД, поскольку между технологиями такого рода существует ряд принципиальных различий, особенно в части процедур ввода, передачи, доведения и предварительной обработки клиентской информации, как и в других отношениях, например, в части аппаратно-программных комплексов провайдеров.

Основу рассматриваемой здесь системы оценок (использованной также в проекте «Стандарта качества банковской деятельности», разработанном совместно Банком России и Ассоциацией российских банков) составляют положения из стандарта CobiT[65]. В этом стандарте вводятся шесть так называемых «уровней развития процесса»[66]: нулевой, характеризующий отсутствие процессов менеджмента и пять, характеризующих «оценку уровня развития»: начальный, повторяемый, определенный, управляемый, оптимизированный. Можно, к слову, отметить, что предложенная классификация отличается от уже ставших привычными зарубежных рейтинговых систем, включающих пять оценочных уровней (типа таких систем оценивания, как состояние кредитной организации — CAMELS, ее информатизации — URSIT[67] и др.), что может помешать попыткам их совместного использования, однако здесь это не принципиально, поскольку ниже говорится только о собственно подходе к классификации степени совершенства процессов.

В рассматриваемом варианте описана исходная модель процессного подхода, включающая следующие характеристики степени развития (или совершенства) процессов (в данном случае внутрибанковских):

0 (Отсутствие) — Процессы управления не применяются и не описаны. Осознание проблем с управлением рассматриваемой деятельностью в организации (в данном случае в кредитной) отсутствует как таковое.

Эта оценка соответствует такой ситуации, когда решения о применении банковских технологий в кредитной организации принимаются спонтанно, а решение практических вопросов полностью зависит от исполнителей в ее подразделениях, в основном, естественно, подразделения информатизации (автоматизации) в отсутствие контроля. Такая организация подвержена воздействию наибольшего количества источников компонентов банковских рисков, так что внедрение любого варианта ДБО может подвергнуть ее серьезным испытаниям. Об эффективности деятельности говорить, понятно, не приходится, результаты больше зависят от удачи, чем от профессионализма.

1 (Минимум) — Процессы в кредитной организации специализированы, но неорганизованны. Имеются документы, свидетельствующие о понимании в организации проблем управления, однако существующие процессы управления не стандартизованы, применяются эпизодически (при возникновении очевидной необходимости) и бессистемно. Общий подход к управлению рассматриваемой деятельностью и контролю над ней не выработан.

Такая ситуация типична для многих малых и средних российских кредитных организаций, причем даже независимо от наличия или отсутствия технологий электронного банкинга. В современных условиях им свойственны частые случаи реализации компонентов типичных банковских рисков, так что в перспективе этим организациям для выживания необходим радикальный пересмотр организации внутрибанковских процессов, поскольку в текущем состоянии она заведомо не может считаться пруденциальной и корпоративной, обеспечивающей их надежность и устойчивость.

2 (Повторяемость) — Процессы повторяются «на регулярном основании». Они проработаны до такого уровня, что решение одних и тех же задач возможно разными исполнителями. В то же время регулярное обучение и тренинг по стандартным процедурам отсутствуют, а ответственность (практически) возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок и серьезные затруднения с контролем.

Эта ситуация типична для большинства средних и крупных кредитных организаций российского банковского сектора, применяющих банковские автоматизированные системы и технологии электронного банкинга. Это объясняется тем, что в большинстве таких организаций их руководство практически полностью полагается на знания менеджеров среднего звена и исполнителей, что находит свое отражение во внутрибанковских документах, начиная с порядков использования систем электронного банкинга и заканчивая должностными инструкциями ответственных лиц. Соответственно, частота и значимость возможных ошибок непосредственно связаны с уровнем квалификации этих лиц и осознания зависимости от провайдеров кредитной организации (включая их аппаратно-программное обеспечение). При этом можно говорить о возможности придания управлению кредитной организации корпоративности, но для этого требуется его качественное совершенствование.

3 (Определенность) — Процессы документированы и взаимосвязаны, стандартизованы и доведены до персонала посредством обучения. В то же время применяемые процедуры не оптимальны и не современны, поскольку являются просто отражением использовавшейся в организации практики.

Такая ситуация характера для крупных кредитных организаций, которые располагают значительной ресурсной базой и используют одновременно несколько технологий и систем электронного банкинга, равно как для организаций среднего «размера», приближающихся по качеству корпоративного управления и содержанию внутрибанковских процессов к крупным. Признаки подобного уровня развития внутрибанковских процессов наблюдаются в дочерних кредитных организациях зарубежных коммерческих банков, однако в значительной части это связано с использованием их образцов корпоративных внутрибанковских документов типа «стандартов качества», которые внедрены руководством этих банков: их приходится осваивать и к ним необходимо привыкать персоналу как к «руководствам к действию».

4 (Управляемость) — Процессы наблюдаются и оцениваются — имеет место мониторинг и оценка соответствия. При выявлении низкой эффективности процессов управления рассматриваемой деятельностью обеспечивается их по большей части своевременная оптимизация. Процесс управления постоянно совершенствуется и основан на хорошей практике. Используются средства автоматизации управления, однако в небольшом объеме.

Примеры таких организаций спорадичны и единичны, поскольку недостаток корпоративной культуры и устоявшихся бизнес-моделей, разработанных на предыдущем уровне, пока не позволяют достичь такого уровня.

5 (Оптимальность) — Процессы управления рассматриваемой деятельностью соответствуют «лучшей практике», которая основана на постоянном совершенствовании и сравнении их качества с другими организациями, а также автоматизированы. Такая организация способна к быстрой адаптации процессов при изменениях в бизнесе и условиях его ведения.

Это «идеальная» ситуация, напоминающая полностью автоматизированное производство, так что кредитной организации с такими условиями банковской деятельности «не страшно» браться за любые проекты, на которые хватит ресурсов, поскольку все внутрибанковские процессы «отлажены» и гарантируют плавную и естественную адаптацию к изменяющимся условиям ведения бизнеса. Органам же банковского надзора остается только с удовлетворением наблюдать за ее успешной деятельностью (в условиях полностью хеджированных «остаточных» или «чистых» рисков), которой не угрожает ни техническое «перевооружение» в виде внедрения новых технологий электронного банкинга, ни конкуренция, ни недостатки законодательной и нормативной базы, регламентирующей банковскую деятельность.

Интерпретировать промежуточные ситуации, располагающиеся между худшим и лучшим вариантом, относительно несложно. Оценка качества конкретной банковской деятельности в общем случае устанавливается равной среднему арифметическому уровню зрелости (они варьируются от 0 до 5) по всем составляющим этой деятельности. Преимуществом предложенной модели считается то, что ее относительно несложно использовать и руководству организации в применении к самому себе как своего рода оценочную шкалу. Самооценка такого рода позволяет понять, что именно необходимо изменить, если возникает потребность в совершенствовании функционирования организации (впрочем, и собственно необходимость этого надо еще суметь увидеть и осознать!). Отсчет начинается с нулевой оценки потому, что отсутствие каких-либо процессов вообще вполне реально, а диапазон оценок до 5 позволяет заметить различия в степени совершенства организации процессов, выделяя те характеристики, которые уже имеются (и их можно оценивать), и те, которые явно отсутствуют.

С риск-ориентированной точки зрения в области ДБО здесь можно отметить, что более уместной представлялась бы более сложная система оценивания, включающая хотя бы несколько весовых коэффициентов «значимости» (допустим, трех: высшей, средней и низшей[68]), поскольку кредитные организации могут все-таки значительно различаться по содержанию внутрибанковских процессов в зависимости от их специфики (в том числе степени автоматизации банковской деятельности, составу и потребностям клиентуры, — юридических/физических лиц, доли VIP-клиентов, спектру предлагаемых банковских услуг и способам их предоставления, составу и квалификации персонала и т. д.). Однако, несмотря на такую целесообразность, это не считается очевидным и существенно осложняет решение рассматриваемой задачи на текущем этапе развития российского банковского дела, а поэтому остается пока что хотя и ближайшей, но все-таки перспективой.

Тем не менее можно заметить, что в современных условиях банковской деятельности процесс самооценки по тем или иным ее направлениям стал уже практически типовым для кредитных организаций, на что их ориентируют и документы, разрабатываемые Банком России. При последующем совершенствовании организации банковской деятельности руководство кредитной организации может использовать итоги самооценки для результатов адаптации внутрибанковских процессов и процедур к новым условиям ее функционирования, оценки внешнего аудитора и (или) собственной оценки соответствия тем или иным корпоративным стандартам качества банковской деятельности в качестве одного или нескольких из числа критериев, разработанных в отношении качества управления кредитными организациями, хотя в приложении к применению банковских информационных технологий это еще не считается актуальным (пример подхода органов банковского регулирования и надзора США будет приведен в параграфе 5.3).

Что касается технологий электронного банкинга, то при применении процессного подхода прежде всего следует выделить именно их специфику, которая делает желательным применение именно процессного подхода прежде всего потому, что сама она является причиной появления в содержании банковской деятельности новых процессов, ранее ей не свойственных, о чем крайне полезно иметь представление как лицам, принимающим решения относительно инноваций в банковской практике, так и тем, кто эти решения воплощает в жизнь[69]. Любые же новые процессы, а тем более их отсутствие (если необходимость в них не осознается) могут привести к непредсказуемым результатам, которые способны в итоге обусловить неожиданную реализацию компонентов банковских рисков, что и происходит в тех случаях, когда внедрение новых компьютерных технологий типа электронного банкинга не приводит к модернизации внутрибанковских процессов. Основной причиной этого становится то, что руководство и персонал кредитной организации работают в новых условиях банковской деятельности «по старинке», а контроль над этой деятельностью становится заведомо неэффективным.

По состоянию на сегодняшний день технологии дистанционного информационного взаимодействия между участниками банковской деятельности уже достаточно многочисленны — в их число входят системы электронного банкинга, построенные на разных технологиях и протоколах, разных сетевых архитектурах и разного уровня сложности. Поэтому и «проактивный» анализ ИКБД может охватывать внутрибанковские локальные и/или зональные вычислительные сети (особенно в случае многофилиальных банков), виртуальные частные сети, схемы мобильного и беспроводного доступа к распределенным компьютерным системам, организацию так называемых «демилитаризованных зон» (DMZ) в информационных сечениях между банковскими автоматизированными системами и внешним «киберпространством», комплексы провайдеров кредитных организаций (Интернет, связи, аппаратное и программное обеспечение и др.), средства идентификации, аутентификации и верификации для клиентов и персонала, а также криптозащиты информационного обмена и т. д. Круг подлежащих изучению вопросов, как видно, достаточно обширен, и вопросы эти не из самых простых, тем более что их решение требует в общем случае квалифицированного контроля (как вообще необходимого компонента процесса ППР). При этом такой контроль предполагается, во-первых, полноценным (обеспечивающим информативность, достаточную для принятия оперативных решений), во-вторых, адекватным масштабу и сложности деятельности кредитной организации, в-третьих, своевременным в плане возможного реагирования на предполагаемые негативные события (включая также форс-мажорные ситуации).

Важным аспектом внедрения кредитной организацией, использования и развития процессного подхода в условиях применения ТЭБ является полный и адекватный (потребностям и ее обязательствам перед клиентами) учет состава ИКБД. К сожалению, практика свидетельствует о том, что руководители кредитной организации зачастую не задумываются не только о возможном влиянии его компонентов на их деятельность, но и об указанном контуре как таковом. Ситуация реально выглядит так, как будто за пределами организации, использующей ТЭБ, этого контура не существует. На самом деле виртуальность этого контура может оказать вполне реальное влияние на ее функционирование, особенно в тех случаях, когда требуется гарантировать невозможность так называемого «отказа от операции»[70] (ситуация, кстати, типично проблематичная для таких вариантов электронного банкинга как интернет-банкинг или банкоматное и другое карточное обслуживание), или существует опасность незаметного вовлечения этой организации в противоправную деятельность. В последнем случае ее руководству целесообразно задуматься о том, каким образом ее специалисты могли бы восстановить маршрут прохождения и источник ордеров, т. е. подозрительных клиентов, а соответствующий ИКБД в случае, к примеру, интернет-банкинга как раз и отличается тем, что сделать это без специального технологического и технического оснащения (заранее, конечно, предусмотренного в соответствующей СЭБ) практически невозможно.

Таким образом, первой и наиболее важной процедурой, которую целесообразно организовать при принятии решения о переходе к тому или иному виду ДБО, можно считать изучение формирования будущего ИКБД и специфических особенностей функционирования такого контура. В число этих особенностей входят многие подлежащие рассмотрению и решению вопросы, начиная с надежности разнообразного аппаратно-программного обеспечения, продолжая известной взаимной анонимностью агентов ДБО и заканчивая формированием запасных вариантов (маршрутов) ДБО, включая многочисленные организационно-технические аспекты поддержки его функционирования (с учетом систем различных провайдеров), что усложняет задачу «проактивного» анализа. Отсутствие соответствующих технологических схем не позволит кредитной организации перевести внутрибанковские процессы выше уровня 2, а значит, уровни компонентов банковских рисков фактически останутся неприемлемо высокими, но «скрытыми» от УБР.

Не менее важным аспектом процессного подхода является обеспечение надежности функционирования кредитных организаций в части их отношений с провайдерами. К сожалению, пока еще нельзя сказать, что руководители этих организаций полностью осознают сами факты зависимости их деловой активности от провайдеров и, как следствие, зависимости от них интересов клиентов ДБО. Проблема в основном заключается в том, что специфика аутсорсинга как такового, в чем бы он ни заключался (будь это связь, процессинг, клиринг, хранение резервных массивов банковских данных и т. д.), не осознается полностью ни самими кредитными организациями, ни их клиентами[71]. Вследствие этого кредитная организация зачастую практически не отвечает перед клиентом за проблемы, которые в условиях ДБО могут оказаться обусловленными ее провайдером. В свою очередь клиенты, как правило, не задумываются о том, с какими претензиями они придут в эту организацию в том случае, если из-за неполадок в компьютерных системах провайдеров, предоставляемых ими каналах (линиях) связи и т. п., пропадут или будут искажены либо скомпрометированы их данные (содержание ордеров или результаты операций). В то же время сам факт появления в ИКБД систем провайдеров предполагает наличие особого внимания к содержанию договоров между кредитной организацией и провайдером и между нею и клиентом ДБО с таким распределением ответственности, которое как минимум гарантировало бы отсутствие ущерба интересам клиента в случае, к примеру, возникновения форсмажорных обстоятельств или минимизировало его. Наличие такого внимания предполагает и организацию соответствующего обеспечивающего бизнес-процесса в кредитной организации (в котором участвует и клиентура ДБО со свойственными ей компонентами стратегического, правового и репутационного рисков).

Мало того, в последнее время внимание зарубежных органов банковского регулирования и надзора привлекла проблема так называемого «офшоринга». «Говоря по-русски», офшоринг — это трансграничный аутсорсинг процессинга. Речь идет о ситуации, когда провайдер, осуществляющий, допустим, обработку и хранение банковских данных для кредитной организации (т. е. реализующий соответствующие функции, переданные на аутсорсинг), не является резидентом[72]. БКБН в этой связи считает, что «органы банковского надзора страны резидента должны быть уверены в том, что данный банк в самом деле имеет возможности доступа к критично важным для него данным или информации и контролирует их, что необходимо для адекватного управления деятельностью в области электронного банкинга». Кредитная организация в свою очередь должна предоставить контролирующему органу необходимые гарантии того, что эта ситуация реально имеет место, и их подтверждение (обеспечение).

На самом деле в ситуации трансграничного банковского обслуживания или аутсорсинга процедур (как компонентов процессов) значительно больше: часть из них связана с обеспечением «гарантированного» доверия самой кредитной организации к провайдеру, надежности и защищенности его автоматизированных систем, обеспечению им информационной безопасности, в том числе защищенности от возможных внешних атак на кредитную организацию через распределенную компьютерную систему провайдера и ИКБД, в который он входит. Другая часть связана с доверием со стороны клиента к такой организации, которая использует аутсорсинг процессинга, к тому же трансграничный. Естественно, обеспечение конфиденциальности сведений о банковских данных, принадлежащих на самом деле клиенту, и об операциях с этими данными должно, по идее, гарантироваться обслуживающей его кредитной организацией, которая в свою очередь сама должна иметь необходимые гарантии, к тому же с учетом требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных»[73]. А для этого службы ИТ, внутреннего контроля и обеспечения информационной безопасности кредитной организации (как минимум) должны иметь возможности контролировать ситуацию у провайдеров, обеспечивая тем самым защиту интересов кредитной организации и опосредованно ее клиентов. Такие требования характерны для банковского законодательства ряда стран, к примеру Германии, но в российских условиях правовые основания в отсутствие полноценного регулирования деятельности провайдеров кредитных организаций остаются сомнительными.

Приведенный перечень дополнительных процедур может быть продолжен специалистами самих кредитных организаций в зависимости от того, какие именно внутрибанковские процессы имеют отношение к применению ТЭБ. Главное заключается в том, что рассматриваемый подход должен приводить к созданию в кредитной организации такой совокупности внутрибанковских процессов и такого их административного и организационно-технического обеспечения, которые будут работоспособны и эффективны вне зависимости от тех конкретных технологий электронного банкинга, которые уже используются в ней или которые предполагается внедрять. Этот своего рода «шаблон деятельности» в форме одного из глобальных для кредитной организации процессов превращается тем самым в своеобразный корпоративный стандарт, который гарантирует адекватность принятия решений целям организации и получения результатов независимо от особенной отдельных технологий такого рода. Для ее персонала это будет означать, что каждый сотрудник на своем однозначно определенном месте в точно определенные отрезки времени будет выполнять заданные необходимые функции полно, четко и ответственно. В результате в кредитной организации формируется полнофункциональная и «устойчивая к инновациям» система управления внесением изменений в бизнес-процессы и их контроля, отвечающая потребностям организации и ее клиентов, обеспечивающая тем самым соответствующие конкурентные преимущества.

По результатам проведенного анализа далее в кредитной организации разрабатываются распорядительные документы, положения и порядки, которые предназначены для реализации процессного подхода и в которых описываются также организационные и информационные взаимосвязи между процессами. Тем самым обеспечиваются возможности для реализации принципов эффективного корпоративного управления, которое вместе с управленческим наблюдением (контролем) относится к процессам высшего уровня в кредитной организации. С риск-ориентированных позиций ошибки в определении содержания внутрибанковских процессов этого уровня могут стать основными причинами возникновения источников тех компонентов банковских рисков, которым подвергаются кредитные организации даже независимо от степени квалификации и усилий их исполнительского персонала. При этом особенностью формирования этих процессов на текущем этапе становится необходимость учета всех факторов, действующих в ИКБД, в силу их множественности и разнообразия.

С тех же позиций при проведении анализа желательно учитывать все внутрисистемные информационно-финансовые связи, от которых явно зависит эффективность экономического функционирования клиентов кредитной организации, включая гарантии целостности и защищенности клиентской информации. Во многих случаях такие зависимости образуются «в рабочем порядке», как это обычно бывает при внедрении той или иной инновационной технологии, и, скорее всего, они априори неизвестны руководству кредитной организации (во всяком случае полностью). Поэтому и становится важен комплексный анализ ИКБД в интересах как определения новых внутрибанковских процессов, так и адаптации уже существующих. Недостаточное осознание указанной специфики может быстро привести к возникновению проблем у кредитной организации в случаях, например, массового дистанционного обслуживания с применением так называемой «сквозной обработки» (straight-through processing) при необходимости выявления «на лету» операций, подлежащих обязательному контролю («подозрительных» или «сомнительных»), фиксации сопутствующей сеансовой информации и т. п.

3.2. Основные внутрибанковские процессы, связанные с электронным банкингом

Вне зависимости от того, какая именно ТЭБ внедряется кредитной организацией, адаптации (модернизации) и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации и заканчивая должностными инструкциями конкретных исполнителей и квалификационными требованиями к ним. Принятие соответствующих решений является, естественно, прерогативой высшего руководства кредитной организации, что уместно четко и однозначно определить в ее документах, определяющих ролевые функции совета директоров и высшего менеджмента.

Поэтому тем кредитным организациям, которые «смело смотрят в будущее» и намерены активно поддерживать имидж «Банка XXI века», логично разработать и внедрить специальный новый внутрибанковский процесс, ориентированный на внедрение инноваций.

Об этом, насколько известно автору, «нигде и никогда» не пишут, а на самом деле ситуация далеко не так проста, как может показаться. Вероятно, особенно важно задуматься о желательности такого процесса, если вспомнить о связанных с внедрением новых технологий компонентах стратегического, операционного, правового и репутационного рисков. Основным содержанием этого процесса является упоминавшийся «проактивный» анализ, ориентированный преимущественно на:

1) изучение содержания и особенностей новой технологии банковского обслуживания, включая анализ ресурсной базы кредитной организации;

2) разработку сценария внедрения технологии и необходимых организационных мероприятий (описание «переходного периода»);

3) оценку потенциальной клиентской базы технологии, возможных тарифов (доходности), рентабельности и требований к клиентам;

4) оценку требований к аппаратно-программному, информационному и административно-организационному обеспечению технологии;

5) оценку требований к квалификации специалистов, связанных с обеспечением применения технологии, и возможной их переподготовке;

6) оценку изменений в процессе УБР, возникновении новых процедур и квалификационных требованиях к его персоналу;

7) оценку изменений в политике обеспечения информационной безопасности, реализующих ее в процедурах и работе соответствующего подразделения;

8) оценку изменений в организации и содержании внутреннего контроля, а также во внутрибанковской системе этого контроля в целом;

9) оценку возможных изменений в мероприятиях, относящихся к финансовому мониторингу, и дополнительного обеспечения его поддержки;

10) оценку изменений в правовом обеспечении банковской деятельности и его квалификационной поддержке;

11) оценку изменений в содержании работы сервис-центра и претензионной работы с клиентами и необходимости новых информационных связей;

12) определение содержания договоров с клиентами, обслуживаемыми дистанционно, и снижение уровней рисков, связанных с ними;

13) определение содержания контрактов с провайдерами и обеспечение контроля их функционирования (соглашения об уровне обслуживания[74]);

14) перераспределение функциональных ролей, обязанностей и ответственности в иерархической структуре организации;

15) достижение согласованности взаимосвязанных внутрибанковских процессов на уровне процедур, включая новые (например, для провайдеров);

16) оценку изменений, которые потребуется внести в информационные системы управления (ИСУ) или системы ППР.

Это только основные компоненты нового внутрибанковского процесса, причем в зависимости от специфики деятельности конкретной коммерческой организации они тоже могут варьироваться по содержанию отдельных процедур. Желательно, кстати, учитывать, что в сфере современной банковской деятельности наибольшее значение имеет именно информационное обеспечение, т. е. необходимо быть уверенным в гарантиях полноты, целостности и своевременности предоставления данных, необходимых для реализации эффективного управления и контроля, независимо от специфики той или иной технологии ДБО. Излишне говорить, что с переходом значительного количества процедур, составляющих банковскую деятельность, в виртуальное киберпространство получение таких гарантий может оказаться весьма затруднительным. Поэтому бывают ситуации, когда может быть лучше даже не торопиться с внедрением многообещающих, но «мало понятных» с позиций традиционных процессов управления и контроля технологий ДБО, а сначала подготовить как следует надежную почву для их внедрения и результативного (в том числе безопасного!) использования. Что, собственно, и имеется обычно в виду под «пруденциальной» организацией условий применения таких технологий.

Очевидно, что все перечисленные выше составные элементы нового внутрибанковского бизнес-процесса представляют собой в свою очередь достаточно специфические процедуры, которые сами требуют специальных решений и мероприятий, организация которых и контроль над которыми являются прерогативой органов управления кредитной организации. Очевидно, что самым важным фактором адекватной реализации этих процедур является осознание их необходимости. В качестве примера, взятого из зарубежной практики банковского регулирования и надзора, можно привести основания для этого: считается, что в составе совета директоров высокотехнологичной кредитной организации должны находиться руководители, имеющие подготовку в области, как говорят, «электронных банковских технологий», обеспечения информационной безопасности и других связанных с ними дисциплин[75]. При этом «во главу угла» ставится обеспечение адекватности системы управления и контроля в таких организациях сложности и масштабам их деятельности с учетом используемых технологий банковского обслуживания, в первую очередь технологий ДБО.

Рассматриваемый бизнес-процесс должен, естественно, опираться на реальные внутрибанковские ресурсы, так что если говорить о его практической интерпретации, то органам управления кредитной организации логично организовать его как подобие своего рода научно-исследовательской работы. Для ее выполнения необходимы прежде всего специалисты в области ИТ, причем из состава как минимум пяти служб[76]: информатизации (автоматизации), операционной (включая маркетинг), обеспечения информационной безопасности, внутреннего контроля и юридической. Каждый из них должен получить и выполнить свое «задание»:

первые — решение вопросов ТЭО, первого, второго, четвертого, пятого, седьмого, девятого и тринадцатого направлений;

вторые — решение вопросов по второму, третьему, одиннадцатому и двенадцатому направлениям;

третьи — решение вопросов по первому, четвертому, пятому и тринадцатому направлениям;

четвертые — решение вопросов по первому, четвертому — шестому и восьмому направлениям;

пятые — решение вопросов по первому, шестому, десятому — тринадцатому направлениям.

Направления с 14 по 16 требуют участия руководства кредитной организации (ее исполнительных органов) и всех перечисленных служб. Приведенное перечисление охватывает опять-таки лишь основных специалистов и функции, которые целесообразно было бы включать в обеспечение нового внутрибанковского бизнес-процесса в кредитной организации.

Далее требуются конкретные финансовые средства на внедрение и развитие новой технологии ДБО, причем здесь уместно задуматься и о некотором резервировании, поскольку все возможные затраты изначально предусмотреть невозможно. Считается, что изначально внедрение системы ДБО, такой, как, например, интернет-банкинга, может потребовать существенных инвестиций, однако они быстро себя окупают, и кредитная организация вместе с ростом клиентской базы ДБО начинает получать ощутимую прибыль. Это соответствует действительности (как по данным зарубежных исследований, так и по информации, полученной в ряде российских кредитных организаций). Тем не менее на практике такое внедрение нередко означает реализацию различных как бы «мелких» рисковых компонентов, которые, впрочем, могут оказаться вполне значимыми в смысле стратегического, правового и репутационного рисков, а иногда и операционного, и неплатежеспособности. Ясно, что процессы управления в кредитных организациях, так или иначе связанные с внедрением, эксплуатацией, сопровождением, модернизацией банковских информационных технологий, логично строить с учетом соответствующих прямых и обратных связей в ПСУ или системе ППР. Типичными примерами в этой проблемной области являются:

— «стыковка» действующих и новых банковских автоматизированных систем (они проявляются, как правило, в так называемых «информационных сечениях», и эти сечения должны являться предметом самого пристального внимания специалистов кредитных организаций по информационным технологиям, обеспечению информационной безопасности и внутреннему контролю особенно в случае заказных разработок или приобретения системы ДБО «под ключ», что вполне типично[77]);

— несоответствие функциональных возможностей заказанной или приобретенной «под ключ» системы ДБО реальным деловым потребностям кредитной организации и (или) ее клиентов (следствием чего практически всегда является «заплаточный» способ подгонки уже проданной (приобретенной) системы за счет переписывания и замены программных модулей, «дописывания» (в смысле программирования) дополнительных функций, ошибки в преобразовании (конвертировании) форматов передаваемых файлов и т. п., причем все это чаще всего делается без должного документарного оформления, тестирования и (или) приемо-сдаточных испытаний и т. д.);

— неправильный расчет производительности систем ДБО, что часто связано с недостатками как в маркетинговой политике (реализация стратегического риска), так и в ТЭО (операционный и репутационный риски), а также отсутствие контроля динамики развития данного бизнес-направления (в широком смысле, о котором говорилось в предыдущем разделе) и прогнозирования его дальнейшего развития (или наоборот, что тоже случается);

— наличие недостатков в обеспечении информационной безопасности и защите банковской и клиентской информации (кстати, такие факты нередко являются следствием пренебрежения органами управления кредитной организации реальными ее потребностями в средствах защиты внутрибанковских локальных вычислительных сетей и, возможно, зональных сетей такого рода, а также недостаточного внимания к контролю над распределенными компьютерными системами провайдеров, через которые могут осуществляться разного рода сетевые атаки);

— несовершенство системы внутреннего контроля и функционирования службы внутреннего контроля, выражающееся в том прежде всего, что модернизация ее деятельности отстает от развития и совершенствования банковской деятельности, особенно от изменений, вносимых в ее аппаратно-программное и информационное обеспечение (в настоящее время известно уже много случаев использования систем ДБО для финансовых преступлений и разного рода противоправной деятельности).

Настало время понимания того, что, поскольку каждое внедрение любого из вариантов технологий электронного банкинга способно существенно изменить бизнес-модели кредитной организации, оно неизбежно влияет на ее внутрибанковские процессы, обеспечивающие банковскую деятельность. Поэтому целесообразно на основе понятия «жизненного цикла» (ЖЦ), как отмечалось в параграфе 2.1, адаптировать к новым способам и условиям осуществления банковской деятельности (как минимум) следующие процессы:

— документарного обеспечения банковской деятельности (требуются новые порядки, регламенты, внесение изменений в положения о структурных подразделениях и должностные инструкции и пр.);

— управления банковскими рисками (требуются описания новых компонентов этих рисков);

— информатизации (автоматизации) банковской деятельности (требуется освоение новой технологии и аппаратно-программного обеспечения, создание механизмов администрирования, сопровождения СЭБ и т. д.);

— правового (юридического) обеспечения банковской деятельности (требуется разработка новых вариантов договоров с клиентами, распределения прав и ответственности, комплаенс-контроля и т. д.);

— обеспечения информационной безопасности (требуется обновление политики обеспечения информационной безопасности, разработка моделей угроз безопасности и сценариев их развития, мер по их парированию и т. п.);

— внутреннего контроля — общей системы и соответствующей службы в ее составе (требуется разработка контроля, сопровождаемая дополнением совокупной квалификации);

— финансового мониторинга (требуется разработка новых методик, программ, средств и механизмов мониторинга, моделей угроз);

— обслуживания клиентов (включая сервис-центр) и претензионной работы (требуется освоение нового ИКБД и дополнительное информационное обеспечение, сопровождаемые дополнением совокупной квалификации).

Одновременно необходимо внедрить новый процесс и реализующие его процедуры организации взаимоотношений с провайдерами (требующей решения технических и юридических вопросов, а также дополнения ролевых функций перечислявшихся выше служб кредитной организации).

Понятие ЖЦ стало уже привычным в отношении банковских автоматизированных систем и других информационных систем кредитных организаций, тогда как понятие ЖЦ внутрибанковского процесса таковым пока еще не стало (о чем свидетельствуют многочисленные ошибки, допускаемые в кредитных организациях при внедрении ими новых банковских информационных технологий). Собственно цикл определяется темпом инноваций, поскольку практически любое нововведение такого рода приводит к смещению профиля риска кредитной организации, которое следует учесть в форме модернизации процесса УБР, а затем в адаптации перечисленных выше внутрибанковских процессов. Таким образом, еще одним постулатом обеспечения надежной банковской деятельности является целесообразность понимания и осознания возникновения цикличности этих процессов, чего до внедрения в деятельность кредитных организаций технологий и реализующих их систем электронного банкинга практически не наблюдалось (ввиду отсутствия необходимости в этом при традиционной организации банковского дела).

В качестве примера можно напомнить, что уже одно лишь использование web-сайта в банковской деятельности предполагает понимание, с одной стороны, тех обязательств, которые принимает на себя кредитная организация перед, так сказать, «внешним миром», в первую очередь своими реальными и потенциальными клиентами, с другой стороны, того, какие именно условия необходимо обеспечить для выполнения этих обязательств. Обеспечение того и другого как раз и представляет собой определенный внутрибанковский процесс. Содержание такого web-сайта, естественно, целесообразно поддерживать актуальным (включая обеспечение целостности информации), в противном случае организация может оказаться подвержена действию ряда источников правового, репутационного и стратегического рисков. Следовательно, в оптимальном варианте, реализации которого должен способствовать процессный подход, в ней назначаются ответственные должностные лица за разработку (или ее организацию в случае заказа третьей стороне на выполнение этой работы), ведение, сопровождение, модернизацию web-сайта, наконец, за контроль его функционирования и содержания. Весь этот персонал (крайне нежелательно, чтобы это был только один специалист) целесообразно обеспечить такими документами, как политика кредитной организации в Сети[78], состав информационного обеспечения web-сайта (контент), должностные инструкции, порядок информационного взаимодействия (в управленческой иерархии), план действий на случай чрезвычайных обстоятельств. Это минимальный в данном случае набор; дополнительные функции и проблемные вопросы, связанные с web-сайтами, будут рассмотрены в главе 6.

Естественно, ответственность за упомянутое осознание лежит на совете директоров и высшем руководстве кредитной организации, от которых зависит принятие решений о переходе к ДБО. В связи с этим можно отметить также, что «недоработки высшего уровня» могут наблюдаться, даже начиная с устава кредитной организации, поскольку описания ролевых функций совета директоров, наблюдательного совета, исполнительных органов зачастую не содержат упоминаний об управлении информационными технологиями и контроле их применения. То же относится к описанию функций аудита (как внутреннего, так и внешнего), включая вопросы аудита информационных технологий и информационной безопасности, как будто банковская деятельность кредитной организации от этих технологий и реализующих их автоматизированных систем никак не зависит. Однако все изложенное в этой книге явно свидетельствует, что это не так.

3.3. Принцип адаптации внутрибанковских процессов

Из проведенного выше рассмотрения становится понятно, что технологии электронного банкинга могут существенно изменять бизнес-модели и различные процессы (включая операционные) кредитной организации. Поэтому в число базовых принципов организации банковской деятельности при внедрении технологий электронного банкинга целесообразно включить подход, основанный на том, что «вне зависимости от того, какая именно ТЭБ внедряется, адаптации/модернизации и взаимному согласованию должны одновременно подвергаться все связанные с ней внутрибанковские процессы и процедуры, начиная с бизнес-моделей и внутренних документов кредитной организации».

Весьма желательно закрепление этого подхода во внутренних документах высокотехнологичной кредитной организации, с одновременным определением в них как упоминавшихся выше внутрибанковских процессов, так и порядка их адаптации в рамках ЖЦ. Надо отметить, что в крупных кредитных организациях, функционирование которых регламентируется в совокупности несколькими сотнями внутренних документов и более, для приведения содержания этих документов в соответствие с новыми условиями банковской деятельности (каждый раз вместе с ЖЦ) требуется, по сути, создание специальной службы, которая должна отслеживать изменения в структуре подразделений и внутрибанковских процессах и процедурах, поскольку и то и другое должно находить отражение в плане актуализации содержания документарного обеспечения этой деятельности (без централизованного управления это невозможно).

В этом прежде всего выражается предвидение руководством кредитных организаций качественных изменений в содержании их функционирования и одновременно понимание того, что «неадекватная адаптация внутрибанковских процессов к применению технологий и систем электронного банкинга — системный фактор риска для кредитной организации».

В документах БКБН также предполагается, что высшее руководство кредитной организации должно осознавать все особенности внедряемой ТЭБ, которые могут оказаться связаны с возникновением новых факторов и подмножеств источников компонентов банковских рисков, отсутствие учета которых приведет к чрезмерному повышению их уровней и возможному неконтролируемому смещению профиля риска кредитной организации в целом.

Необходимо отметить также, что адаптация внутрибанковских процессов должна быть согласованной, т. е. изменения в составе и содержании процедур (функций, операций), составляющих тот или иной процесс, целесообразно вносить «в едином ключе», на основе требований к содержанию УБР и, как пишут, удержания уровней банковских рисков в допустимых пределах. На самом деле акцент изначально целесообразно делать на разработке своего рода «модели оптимальной организации банковской деятельности», под которой имеется в виду достижение «безрисковой» ее организации с позиций максимально достижимого исключения возможностей возникновения новых источников компонентов банковских рисков. Естественно, поскольку банковская деятельность безрисковой в буквальном смысле быть не может, такие модели всегда будут идеалистичны, однако в условиях отсутствия регламентации применения банковских информационных технологий (в широком смысле) это, пожалуй, единственный реальный способ совершенствования организации внутрибанковских процессов при внедрении любой ТЭБ. Этот подход отражен на рис. 3.2, где показан с некоторой долей условности ЖЦ некой автоматизированной системы и участие в нем структурных подразделений кредитной организации (основных с точки зрения тематики изложения) во взаимодействии с «внешним миром». Ниже приводится краткое описание ролевых функций (внутрибанковских процессов), которые могли бы выполняться этими подразделениями в своих жизненных циклах; для тех подразделений, которые на схеме не показаны, рассуждения могут быть аналогичными в плане адаптации их работы к внедрению новых технологий.

В материалах зарубежных органов банковского регулирования и надзора, посвященных управлению банковскими рисками, как правило, подчеркивается, что при внедрении технологий и систем электронного банкинга кредитным организациям следует (как минимум):

— интегрировать приложения электронного банкинга с уже действующими банковскими автоматизированными системами;

— обеспечить целостность принимаемых, хранимых, передаваемых и обрабатываемых банковских и клиентских данных;

— гарантировать наличие процедур усовершенствованного контроля над рисками, внутреннего контроля и процессов аудита.

Из этого перечисления следуют описанные ниже функциональные роли (на схеме показан полный ЖЦ БАС, если разработка осуществляется самой кредитной организацией, если же заказные или автоматизированные системы приобретаются «под ключ», то начальные этапы отсутствуют).

Руководство кредитной организации участвует в ЖЦ банковских автоматизированных систем и внутрибанковских процессов с самого начала — с этапа подготовки ТЭО и выбора конкретной технологии. Кроме этого, от него зависит утверждение выбора компании-разработчика (при необходимости) и других провайдеров, которые будут поддерживать ИКБД[79]. Хорошей «практикой» при этом считается проведение тендера, в процессе которого учитываются такие основные характеристики провайдера, как:

— опыт в данной области предоставления услуг;

— техническое обеспечение предоставления услуг;

— квалификация персонала;

— мнение других клиентов (провайдера);

— стоимость и условия предоставления услуг;

— финансовое состояние;

— возможности мониторинга деятельности провайдера;

— возможность заключения договора с учетом SLA;

— возможная зависимость от суб-провайдеров;

— возможности замены провайдера.

Требования кредитных организаций в отношении провайдеров могут быть шире, здесь перечислены характеристики, учитываемые «как правило».

После принятия решения о внедрении ТЭБ руководство кредитной организации инициирует проектирование и разработку соответствующей СЭБ и поддерживающей применение этой технологии инфраструктуры в кредитной организации, основой для которой является, естественно, уже имеющаяся структура ее подразделений. При этом акцент целесообразно делать на минимизации рисков, связанных с нарушениями требуемых порядков проектирования и разработки (в соответствии с упоминавшимися ранее ГОСТами).

Последующее участие руководства кредитной организации или ее исполнительных органов связано с контролем проведения испытаний автоматизированной системы (АС), для чего следует инициировать разработку программ и методик их проведения (общепринятой практикой стало проведение испытаний по трем этапам так называемых альфа-, бета- и гамма-тестов[80]), а также составление протоколов и актов как минимум для приемо-сдаточных испытаний (ПСИ), где отражаются результаты отработки контрольных примеров. В задачи руководства входит при этом осуществление тщательного контроля за ходом и результатами ПСИ, поскольку в дальнейшем от этого во многом будет зависеть эффективность автоматизированной банковской деятельности, неважно идет ли речь о СЭБ или другой АС.

Далее на регулярной основе представителями руководства кредитной организации осуществляется контроль эксплуатации АС и ее сопровождения, в ходе которого могут осуществляться незначительные доработки, например, программного обеспечения. Такие доработки в любом случае должны документально оформляться и проходить дополнительные ПСИ: на практике известно много случаев, когда это правило не выполнялось, из-за чего впоследствии функционирование автоматизированных систем неожиданно начинало отклоняться от штатного, что приводило к реализации компонентов операционного риска (а затем, возможно и других банковских рисков). То же самое относится к выполнению решений о модернизации АС с добавлением новых сервисов в рамках ДБО и функциональных модулей СЭБ или БАС: принятие соответствующих решений должно сопровождаться процедурами проверки сохранения целостности АС (имея в виду отсутствие нарушений в ее функционировании из-за доработки).

Специалисты в области ИТ участвуют во всем ЖЦ любой АС, одновременно на них ложатся задачи (на схеме не показанные, чтобы не перегружать ее обозначениями интуитивно понятных процедур) определения вендоров и провайдеров[81], при содействии которых будет формироваться ИКБД для внедряемой ТЭБ. От них зависит определение технических параметров ДБО: производительности СЭБ и БАС кредитной организации, пропускной способности каналов связи, инструментальной среды баз данных, использования web-сайтов кредитной организации и т. п., а также средств сетевой и вирусной защиты, администрирования вычислительных систем и сетей, политики информатизации и модернизации и решения связанных с этими процедурами организационно-технических вопросов. Чаще всего ЖЦ процесса информатизации формируется «сам собой» в привычном соответствующим специалистам ключе, и вопросов к выполнению перечисленных здесь функций при внедрении ТЭБ не возникает (в силу их специфики), чего нельзя сказать о других структурных подразделениях кредитной организации.

Участие специалистов в области обеспечения информационной безопасности в жизненных циклах банковских автоматизированных систем и систем электронного банкинга считается обязательным, поскольку от этого зависят результаты и эффективность решения большого числа проблемных вопросов электронного банкинга, начиная с распределения прав и полномочий доступа к информационно-процессинговым ресурсам кредитной организации и заканчивая защитой этих ресурсов от разнообразных сетевых атак. В оптимальном варианте их участие начинается с включения необходимых средств обеспечения информационной безопасности и защиты информации в проекты БАС и (или) СЭБ (при собственной разработке той или иной системы, что, впрочем, встречается нечасто), т. е. требуется определение типа и состава последних, начиная со средств физического и логического доступа. Если разработка собственная или заказная, то в ее процессе желательно отслеживать, по возможности, включение таких средств в состав той или иной АС; если система приобретается «под ключ», то указанные специалисты должны сопоставить свои требования, которые они предъявили бы в случае заказной разработки, с теми, которые были реализованы в приобретаемой системе (посредством изучения технического задания на ее разработку, технического описания АС, а также руководств ее администраторов и пользователей).

На этапах испытаний эти же специалисты должны убедиться в том, что предусмотренные средства обеспечения информационной безопасности действительно имеются в АС и функционируют должным образом. Для этого они должны участвовать в разработке программ и методик проведения ПСИ, разрабатывать контрольные примеры и проводить собственно испытания таких средств совместно со специалистами в области ИТ и внутреннего контроля, фиксируя свои оценки в протоколах и актах по итогам испытаний. По существу такие испытания в части информационной безопасности означают имитацию попыток «взлома» компьютерных систем, НСД к ним (к их программно-информационному обеспечению), отказа обеспечивающих их функционирование систем (например, системы электропитания) и т. п. Необходимо отметить такое усложнение функций этих специалистов при приобретении той или иной АС, как проверка ее на отсутствие так называемых «закладок», т. е. программных модулей, способных в фоновом режиме выполнять, как говорят, «недокументированные функции», ориентированные на хищение финансовых средств или конфиденциальной информации. При модернизации АС вопросы обеспечения информационной безопасности заключаются во внедрении при необходимости новых средств для этого и проверки сохранения функциональности действующих средств защиты информации. В этом также заключается адаптация обеспечения информационной безопасности к новым условиям функционирования кредитной организации.

Специалисты в области внутреннего контроля (в том числе при необходимости и службы финансового мониторинга) выполняют в ЖЦ автоматизированных систем аналогичные функции. Прежде всего они должны на основе анализа потоков клиентских и банковских данных в этих системах определить состав необходимой им контрольной информации, информационные сечения (внутри- и межсистемные) и контрольные точки, в которых будет осуществляться ее считывание в процедурах проверки функционирования программно-информационного комплекса кредитной организации. При этом предполагается, что именно эти специалисты могут сделать указанный выбор и определить состав встраиваемых в АС средств внутреннего контроля исходя из особенностей организации ДБО, ИКБД, СЭБ и БАС кредитной организации. На этапах испытаний они должны убедиться в наличии и работоспособности средств внутреннего контроля, причем для этого требуется детальная проработка контрольных примеров, позволяющая оценить функционирование автоматизированных систем как в штатных режимах, так и в случаях совершения клиентом ошибок (для этого требуются модели ошибочных действий), а также возникновения форс-мажорных обстоятельств (имитируемых в процессе ПСИ с помощью моделей последствий их возникновения).

Для проведения таких испытаний целесообразно организовывать имитационное тестирование, позволяющее отслеживать и контролировать прохождение трафика в соответствии, например, с диаграммами потоков данных[82], которые используются при проектировании АС. При этом организуется АРМ модельного клиента для имитации его действий (штатных и нештатных) и АРМ системного администратора, используемое для фиксации событий «внутри» АС, контроля прохождения данных через просмотр файлов системных и аудиторских журналов. Кстати, многие функциональные возможности, организуемые при проведении ПСИ, связанные с комбинированием различных функций административного уровня, по завершении испытаний необходимо отключить или блокировать, а также уничтожить все модельные данные, определяющие права и полномочия доступа к информационно-процессинговым ресурсам кредитной организации во избежание их «зависания» в АС и возможного последующего противоправного использования. В завершение ПСИ специалисты внутреннего контроля принимают участие в оформлении их итоговых документов, характеризующих функционирование ИКБД, СЭБ и БАС.

В ходе эксплуатации внутренний контроль реализуется по тем штатным схемам, которые установлены руководством кредитной организации в программах и методиках его осуществления. При выполнении процедур, относящихся к сопровождению и модернизации СЭБ и БАС, специалисты внутреннего контроля должны «отслеживать» проведение соответствующих ПСИ, убеждаясь в сохранении целостности средств контроля, которая может пострадать при внесении изменений в программно-информационное обеспечение указанных систем (что нередко случается из-за его сложности). Тем самым реализуется адаптация внутреннего контроля к новым условиям банковской деятельности, распространяемая в дальнейшем на всю систему внутреннего контроля кредитной организации (элементы в ее подразделениях).

Очевидно, что в случае заказной разработки АС специалисты внутреннего контроля кредитной организации должны участвовать в подготовке исходных требований на разработку и согласовании соответствующего технического задания (которое разрабатывает ее исполнитель). В этом же случае, а также если АС приобретается «под ключ», те же специалисты должны участвовать в разработке и согласовании программ и методик проведения ПСИ, а также в самих испытаниях, включая подписание протокола и акта проведения ПСИ. Проводить эти испытания целесообразно на стендовых средствах самой кредитной организации, хотя, как показывает практика, такими средствами может располагать далеко не каждая кредитная организация, почему и приходится пользоваться для этого средствами организации разработчика. При этом надо иметь в виду, что, например, инсталляция на банковском оборудовании может выявить те или иные особенности и недостатки в функционировании АС просто из-за различий в версиях или релизах операционного программного обеспечения, операционных систем и т. п. Если кредитной организации предлагается система, сделанная «под ключ» без возможности проведения ее ПСИ в этой организации, то ее специалистам следует ознакомиться с документами о предыдущих испытаниях этой системы и убедиться в соответствии их содержания требованиям, установленным в ней самой (предполагается, что руководству этой организации такие требования известны и существуют соответствующие внутренние распорядительные документы, порядки, регламенты и т. п.).

Ролевые функции сервис-центра (иногда называемого «call-center») в соответствующем ЖЦ связаны в основном со сбором информации о функционировании банковских автоматизированных систем, их доработках и модернизации с тем, чтобы у клиента не возникало замешательства при каких-либо изменениях в их работе. Наиболее простым примером из практики является изменение дизайна web-сайта кредитной организации, о котором заранее не сообщается и которое вызывает негативную реакцию, если привычный вид web-страниц изменяется таким образом, что элементы управления (навигации) и информационные компоненты исчезают с привычных мест и их приходится разыскивать, «прыгая» по системе меню такого web-сайта и гиперссылкам. Очевидно, что внедрение новой ТЭБ, реализующей ее СЭБ, и предоставляемых ею сервисов приводит к необходимости изменения содержания работы сервис-центра, адаптируемой к внедрению и модернизации ДБО, в том числе в части переподготовки соответствующего персонала и расширения его служебного информационного обеспечения.

Как уже отмечалось, службы ИТ, обеспечения информационной безопасности, внутреннего контроля и финансового мониторинга, и сервис-центр кредитной организации должны выполнять некоторые функции и в отношении «внешнего мира». Эти функции относятся к взаимодействию кредитной организации с вендорами, в части контроля качества продаваемых ими средств автоматизации банковской деятельности, провайдерами — в части гарантирования уровней обслуживания (SLA) и со своими клиентами — в части принятия максимально «жестких» ограничений на их деятельность. Каждый аспект этой внешней по отношению к кредитной организации деятельности налагает своеобразные требования на содержание отдельных процедур во всех перечисленных процессах или некоторых из них. Основное внимание при определении их содержания и взаимосвязей друг с другом руководству кредитной организации целесообразно уделять различным условиям:

— контрактов и договоров, в которых фиксировалось бы точнее распределение обязанностей и ответственности сторон с учетом специфических особенностей каждой ТЭБ и формируемого ею ИКБД;

— функционирования и использования автоматизированных систем, с помощью которых реализуется ДБО и к которым имеют доступ (или отношение) стороны, выполняющие оговоренные функции;

— восстановления функционирования автоматизированных систем и каналов связи в составе ИКБД и обеспечения их доступности для осуществления ДБО и выполнения сторонами своих обязательств;

— взаимодействия договаривающихся сторон с определением соответствующих порядков, включая обеспечение подтверждения идентичности этих сторон и аутентичности информационного обмена;

— разрешения конфликтных и спорных ситуаций, препятствующих штатному осуществлению ДБО, которые могут возникать в ИКБД, равно как и мерам, принимаемым в обеспечение этих условий.

В целом состав и характеристики (параметры) этих функций всегда зависят от состава и организации ИКБД (для каждой ТЭБ), а следовательно, могут варьироваться с течением времени, причем обязательно при внедрении нового варианта ДБО, так что адаптация будет затрагивать соответствующие процессы и в этом отношении. Главным фактором, обусловливающим очередной «виток» ЖЦ для них, являются отличия в реализации ДБО в каждом из этих вариантов, которые неизбежны даже при использовании однородных технологий электронного банкинга, а поэтому требуют изучения, освоения и учета, т. е. своего рода «точной настройки» внутрибанковских процессов.

Приведенное краткое описание ЖЦ АС и участия в нем разных служб кредитной организации может быть расширено исходя из ее структуры, поскольку в условиях большого разнообразия вариантов организации банковской деятельности, состава подразделений, применяемых автоматизированных систем и их архитектуры дать детальные полные рекомендации невозможно. В этом, кстати, заключается основная методологическая проблема, в решении которой в условиях применения технологий электронного банкинга целесообразно объединять усилия исполнительных органов кредитной организации и специалистов из упомянутых (как минимум) подразделений. Следствием возникновения этой проблемы становится решение вопроса согласованной адаптации совокупности внутрибанковских процессов с каждым «оборотом» ЖЦ банковских автоматизированных систем и технологий электронного банкинга при их последовательном внедрении в постоянно развивающуюся и усложняющуюся банковскую деятельность.

3.4. Адаптационный метапроцесс

Суммируя сказанное, можно перечислить основные зоны концентрации источников компонентов банковских рисков в случае внедрения ТЭБ, анализ которых целесообразно проводить:

БАС, с которой потребуется интегрировать программно-информационный комплекс электронного банкинга;

поставщики (вендоры) программно-информационных комплексов и аппаратно-программного обеспечения, подлежащих контролю;

внутрибанковские процессы управления и контроля, включая иерархию ответственности, подконтрольности и подотчетности;

внутрибанковское документарное обеспечение новой технологии от порядков и инструкций до должностных обязанностей персонала;

условия внедрения и применения новой технологии и реализующих ее систем электронного банкинга, которые потребуется создавать;

средства обеспечения информационной безопасности кредитной организации, внутрибанковских процессов и ее клиентов;

система внутреннего контроля, которая должна будет расшириться и адаптироваться к ТЭБ (включая финансовый мониторинг);

персонал кредитной организации, квалификация которого должна будет соответствовать новым требованиям (на разных уровнях иерархии);

клиенты кредитной организации, которым потребуется дополнительная подготовка для пользования новыми сервисами;

провайдеры кредитной организации, через телекоммуникационные и процессинговые системы которых пойдет новый банковский трафик.

Дополнительные вопросы юридического (правового) обеспечения банковской деятельности включают:

— содержание договоров с клиентами и контрагентами кредитной организации;

— оценку соответствия новой деятельности требованиям законодательных и подзаконных актов;

— обеспечение выполнения правил бухгалтерского учета и достоверности регламентной банковской отчетности (в виртуальном пространстве).

В оптимальном варианте в кредитной организации должны быть документированные свидетельства выполнения ее руководством своей функциональной роли при обосновании и принятии решений о внедрении и применении новой банковской технологии и адаптации внутрибанковских процессов и входящих в их состав процедур к условиям банковской деятельности, формируемым новой ТЭБ. Точно так же предполагается наличие распорядительных документов и порядков, регламентирующих согласованную адаптацию внутрибанковских процессов, т. е. модернизироваться должны все процессы, которые затрагивает внедрение ТЭБ, так чтобы не получилось, например, что специалисты внутреннего контроля или обеспечения информационной безопасности оказываются «не в курсе» технологических и технических изменений и продолжают работать «по старинке». Такая ситуация является угрожающей для кредитной организации и ее клиентов, поскольку способствует возникновению неконтролируемых источников компонентов банковских рисков.

Сказанное выше означает по существу, что в кредитной организации, переходящей к использованию технологий электронного банкинга, целесообразно организовать своего рода «процесс управления процессами» или, в современной терминологии, «мета-процесс». Этот процесс в оптимальном варианте организации банковской деятельности при формировании новых условий ее осуществления должен бы «автоматически» запускаться на основе распорядительных документов кредитной организации и ее внутренних регламентов (порядков), приводя к модернизации содержания как минимум перечисленных ранее в этом параграфе внутрибанковских процессов. Следует подчеркнуть, что предложенное здесь представление внутрибанковского мета-процесса не следует рассматривать как надуманное и нереалистичное: практика изучения организации и содержания современной банковской деятельности свидетельствует, что новые, непредвиденные компоненты типичных банковских рисков возникают не только тогда, когда адаптации внутрибанковских процессов к внедрению ДБО не происходит, но и тогда, когда адаптируются не все связанные с ним процессы или адаптируются без должного согласования между собой и в структуре кредитной организации в целом. Упрощенная общая схема такого ЖЦ, мета-процесса, управляющего им, и состава отдельных мероприятий (этапов), которые осуществляются в каждом цикле, приведены, соответственно, на рис. 3.3 и 3.4. В зависимости от состава процедур в общебанковских процессах управления и контроля эта схема может варьироваться в сторону большей детализации, однако это не имеет принципиального значения до тех пор, пока сохраняется ее связь с внедрением новых банковских информационных технологий, таких как технологии электронного банкинга.

В материалах зарубежных органов банковского регулирования и надзора подобный подход пока что отсутствует, по-видимому, потому, что история автоматизации банковской деятельности «на Западе» насчитывает десятилетия, а при ее начале разработка теории банковских рисков даже не планировалась. Достаточно вспомнить, что первое крупное компьютерное мошенничество, в результате которого было похищено около сорока миллионов долларов, произошло в одном из чикагских банков в 1974 г., а разработка первого варианта рейтинговой системы URSIT, используемой американскими органами банковского регулирования и надзора[83], относится к 1978 г. (ее совершенствование продолжается до настоящего времени вместе с технологическим и техническим прогрессом в банковской сфере). Американские специалисты банковского инспектирования начали применять методы так называемого «компьютерного аудита» еще в начале 70-х годов прошлого века[84]. Как раз в это время (с 1971 г.) там началось интенсивное внедрение банкоматов, систем автоматизированной обработки чеков (впрочем, первую полнофункциональную систему такого рода ввел в эксплуатацию Chase Manhattan Bank еще в 1961 г.) и т. д., причем к этому времени в банковском секторе США работал уже каждый пятый программист в стране. Компьютеризация российского банковского сектора происходила весьма быстрыми темпами, значительно опережающими «осознание» значимости и особенностей этого явления, что до сих пор проявляет себя в уровнях рисков.

Принятие рассмотренного подхода отвечает требованиям времени, так как смещения профилей рисков кредитных организаций вместе с продолжением технического прогресса в обеспечении банковской деятельности и развитием ДБО неизбежны, а значит для поддержания технологической надежности ДБО эти явления должны анализироваться и учитываться руководством как во внутрибанковских процессах

УБР, так и в процессах, связанных с ним. Проявлением оптимизации управленческого подхода в этом плане (равно как и корпоративного управления в целом) можно было бы считать разработку новых видов внутренних документов кредитной организации, например имеющих условное название «Принципы и порядок адаптации внутрибанковских процессов», положения которых учитывались бы затем в «Порядке организации управления банковскими рисками», «Политике информатизации», «Политике обеспечения информационной безопасности», «Положении о системе внутреннего контроля», «Положении о службе внутреннего контроля», «Положении об осуществлении финансового мониторинга», «Положении об организации взаимоотношений с провайдерами», «Порядке ведения претензионной работы» и других внутрибанковских документах (приведенные названия их также ориентировочные).

Высказанные соображения в значительной степени относятся к «общей культуре» банковской деятельности и корпоративному управлению ею в кредитных организациях, о чем руководство многих из этих организаций, причем уже довольно давно внедряющих системы электронного банкинга, стало задумываться лишь в последнее время. Отчасти это связано с тем акцентом, который делается на этой проблематике Банком России, отчасти это можно считать следствием реализации компонентов банковских рисков, возникших ввиду «непредвиденных обстоятельств», которые вполне можно было предвидеть при условии осуществления проактивного анализа факторов возникновения и источников компонентов банковских рисков в ИКБД. В то же время формирование общей культуры невозможно без доведения понимания цикличности внутрибанковских процессов до менеджмента среднего уровня и ответственных исполнителей в кредитной организации, отвечающих за ДБО, поскольку конкретизация их рабочих процедур через функции и операции далеко не всегда может быть точно определена «сверху» исполнительными органами (просто в силу их специфики при работе с системами электронного банкинга и банковскими автоматизированными системами). Актуальность этой темы и ее «ориентированность» на изучение структуры банковских рисков и снижение их уровней в современных условиях банковской деятельности сомнению не подлежит.

Глава 4

Особенности корпоративного управления в условиях электронного банкинга

Мой босс этого не понимал, как не понимал того, что не понимает этого.

Д.С. Платт. «Софт — отстой! И что с этим делать»

Развитие корпоративного управления стало актуальной темой для российского банковского сообщества с начала 2000-х гг., но в отношении высокотехнологичных кредитных организаций дальше деклараций наиболее общего характера дело внедрения его принципов пока не пошло, а распространение новых банковских информационных технологий только осложнило ситуацию. Причины этого заключаются, по-видимому, и в новизне ДБО как такового, и в сложности управления работой автоматизированных систем, составляющих его основу, и в неочевидности подходов к реализации соответствующих контрольных функций руководством кредитных организаций. Как следствие затруднений с решением этих проблемных вопросов, начали реализовываться многообразные компоненты типичных банковских рисков, сопутствующих ДБО, так что кредитные организации и их клиенты стали нести достаточно ощутимые потери. Реализация рисков продолжается до сих пор, и в целом ситуация только осложняется, причем уже в международных масштабах (например, компрометация пластиковых карт). Это означает, что для парирования влияния нетривиальных источников риска требуются новые подходы к УБР, поскольку традиционные методы больше не могут считаться надежными. Это в свою очередь означает необходимость создания новых моделей корпоративного управления для новых технологий.

Несмотря на наличие двух основных документов Банка России, посвященных данной проблематике, а именно писем от 13 сентября 2005 г. № 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях» и от 7 февраля 2007 г. № 11-Т «О перечне вопросов для проведения кредитными организациями оценки состояния корпоративного управления», практическая реализация предложенных в них подходов в условиях применения систем электронного банкинга вызывает очевидные затруднения. В итоге время истинной, так сказать, «корпоративности» управления в новых условиях банковской деятельности, осуществляемой новыми же способами, пока еще не наступило. Как показывают исследования практики применения рассматриваемых технологий, основной проблемой в части корпоративного управления для многих кредитных организаций пока еще является невозможность основывать свою деятельность на детально разработанных и «технологичных» процедурах (компонентов внутрибанковских процессов) просто в силу отсутствия «готовых рецептов» управления. Поэтому в книге предлагается подход к его адаптации исходя из особенностей, которые привносятся в банковскую деятельность внедрением кредитными организациями технологий электронного банкинга и реализующих их систем, основанный на анализе принципов, описанных в упомянутых выше документах.

Внедрение кредитными организациями технологий ДБО приводит к неконтролируемому смещению профилей как минимум пяти типичных банковских рисков, вследствие чего за последние годы и наблюдалось множество случаев реализации их компонентов. В самом возникновении таких компонентов, которое оказалось, судя по всему неожиданным не только для российских кредитных организаций, но и для международного банковского сообщества, ничего удивительного нет, однако в отношении руководства кредитных организаций свою заметную негативную роль сыграл тот разрыв между традиционной интерпретацией банковской деятельности и новым ее содержанием, о котором говорилось выше. Поэтому совершенствование корпоративного управления в условиях применения технологий электронного банкинга, с точки зрения автора, необходимо именно для исключения негативных явлений такого рода. Оно является не просто насущной задачей, но процессом, жизненно необходимым для высокотехнологичных кредитных организаций. В противном случае кредитная организация окажется подвержена действию большинства сопутствующих ДБО факторов операционного, правового и репутационного риска (а в наиболее неблагоприятных случаях — и риска неплатежеспособности), что само по себе приведет к заметным финансовым потерям, а в худшем случае будет иметь место реализация стратегического риска, свидетельствующая о неготовности такой организации к переходу на ДБО, и тогда финансовые потери окажутся максимальными.

В то же время априори понятно, что внедрение новых банковских технологий, особенно таких, которые предполагают дистанционное, а значит, специфическое и отчасти анонимное обслуживание (как следствие дистанционности и отсутствия гарантий идентичности и аутентичности с обеих информационно взаимодействующих сторон), не может не являться в обязательном порядке прерогативой высшего руководства кредитной организации, поскольку любая из таких технологий может оказаться связана с возникновением множества источников (факторов) компонентов упомянутых банковских рисков. В оптимальном варианте все они должны были бы заблаговременно учитываться в кредитной организации в форме адаптации процедур выявления, анализа и оценки банковских рисков. Для каждого из них в отдельности и для всех в совокупности тому имеется ряд причин.

Во-первых, стоимость систем, реализующих ТЭБ, может быть весьма высока, и таким образом одна лишь ошибка в выборе варианта перехода к ДБО может в буквальном смысле «дорого стоить» кредитной организации. Кроме того, далеко не любая технология может оказаться легкой в использовании, а следовательно, оперативно востребованной для клиента, тем более что и уровень компьютерной грамотности среди населения нередко бывает невысок. Также существует проблема интеграции приобретаемой или разрабатываемой системы ДБО с уже действующими банковскими автоматизированными системами, наиболее часто проявляющая себя в информационных сечениях между действующими и вновь внедряемыми автоматизированными системами, а также недостаточной подготовке персонала, работающего с этими системами.

Во-вторых, не исключены, особенно в условиях бума ТЭБ (реально наблюдающегося в нашей стране), случаи применения недостаточно отлаженных, отработанных и всесторонне проверенных систем. К этому примыкает проблема подтверждения соответствия функциональных возможностей вновь внедряемых систем заявленным требованиям. Руководству кредитных организаций, использующих автоматизацию банковской деятельности как таковую (а других сегодня, скорее всего, и не существует), целесообразно по-разному организовывать процедуры приемо-сдаточных испытаний любых БАС (не только систем ДБО) в зависимости от того, разработаны они собственными специалистами (таких кредитных организаций меньшинство), созданы на заказ или приобретены «под ключ». Очевидно, что детальность функционального тестирования (как минимум) на этапе приемо-сдаточных испытаний должна повышаться от первого варианта к третьему, причем точно также растет и его сложность, поскольку работу собственных специалистов проконтролировать существенно проще, чем заниматься вылавливанием «жучков» в автоматизированных системах, внедренных сторонними организациями. Растут и требования к квалификации персонала, выполняющего процедуры такого рода.

В-третьих, не всегда имеются достаточные гарантии защищенности ТЭБ как таковых и соответствующих (реализующих и обеспечивающих их) распределенных компьютерных систем. Это относится как к обеспечению гарантий сохранения банковской тайны, так и к устойчивости к сетевым атакам, авариям, сбоям и другим неприятностям киберпространства. В этом плане целесообразно формировать политику информационной безопасности с учетом особенностей построения систем ДБО и тех зон ответственности кредитной организации, которые ей придется в итоге брать под контроль (совокупная же информация о таких зонах может иметься только у представителей руководства такой организации, которые могут «взглянуть на проблему сверху»). Адаптация этой политики в условиях существенно изменяющегося «периметра информационной безопасности» и применения новых, возможно не очень хорошо освоенных компьютерных технологий может оказаться непростым делом даже только в части ее документального оформления (описания).

В-четвертых, руководству кредитной организации целесообразно изначально задаться вопросом о возможности полноценного контроля использования ТЭБ и реализующих их компьютерных систем, равно как и сотрудников самой организации, которые будут обеспечивать их применение. Понятно, что работу любого специалиста в области информационных технологий может проконтролировать только специалист, имеющий как минимум аналогичную квалификацию (а лучше — более высокую). Отсюда и возникновение одного из оснований для принятия «принципа четырех глаз». В то же время не секрет, что реальным банком является в современных условиях не здание с надписью «Банк имярек» на фасаде, а банковская информационная система с хранилищем данных. Такая система может находиться как в этом же здании, так и в любом другом месте, например на территории провайдера, реализующего процессинг или другой аутсорсинг для кредитной организации. Вполне реально и нахождение такого провайдера вообще в нерезидентной юрисдикции, что нередко встречается при международном разделении труда. Очевидно, что в подобных ситуациях понятие «корпоративность» неизбежно расширяется, выходя за пределы самой кредитной организации. Поэтому ее руководству целесообразно быть в курсе возможных сопутствующих проблем, связанных в том числе с изменениями в профилях банковских рисков и потенциальной потребностью вернуть при необходимости выполнение функций, переданных на аутсорсинг, на свою «территорию»[85].

В-пятых, корпоративность управления как таковая немыслима без ее «утверждения» на всех уровнях управления или менеджмента, причем желательно доведение соответствующих идей до исполнителей как минимум на всех участках, критично важных для кредитной организации и выполнения ею своих обязательств перед клиентами, акционерами и различными органами контроля. В этом плане полезно, чтобы в «корпоративном духе» не только проводились вечеринки, приуроченные к знаменательным для организации датам, но и организовывалось информационное взаимодействие между подразделениями кредитной организации (тем более в многофилиальной системе), осуществлялось обучение персонала этой организации наряду с его переподготовкой при внедрении каждой ТЭБ, а также обеспечивалось эффективное управленческое наблюдение (на групповой основе). При этом, кстати, за рубежом считается полезным осведомлять работников не только об их функциональных обязанностях, но и о том ущербе, который они могут нанести организации и себе в случае допущения отклонений от установленных регламентов и моделей корпоративного поведения (в новых технологических условиях).

Очевидно, и практика изучения применения технологий электронного банкинга в кредитных организациях подтверждает это, что сама собой упомянутая выше модернизация произойти не может, так что вместе с принятием решения о переходе к ДБО клиентов в кредитной организации целесообразно принятие адекватных мер по адаптации прежде всего устоявшихся (в традиционных вариантах) внутрибанковских процессов управления и контроля к новым условиям банковской деятельности, которые в свою очередь обусловлены внедрением новых способов ее осуществления. Для этого (как, впрочем, и при внедрении любой новой информационной технологии начиная с так называемого «электронного документооборота») требуется разработка некой идеологии, принятой на уровне кредитной организации в целом и реализуемой ее органами управления, причем происходить это должно, вообще говоря, при каждом технологическом (и техническом) «перевооружении» этой организации независимо от его масштабов (даже если изменения кажутся не слишком значительными, чтобы об этом вообще задуматься). Надо отметить, что такие технологии, особенно в части ТЭБ и ППР, того стоят.

Важно подчеркнуть, что роль корпоративного управления в адаптации внутрибанковских процессов при внедрении ТЭБ двоякая: во-первых, собственно «корпоративность» должна проявляться в определении состава подлежащих модернизации процессов в их комплексе (на основе определения перекрестных связей, с помощью которых согласуются отдельные процедуры[86]), во-вторых, обеспечение согласованности адаптации возможно только централизованное, иначе проявятся все негативные характеристики 3-го уровня развития процессного подхода (зависимость результата от квалификации исполнителей в условиях неполного административного контроля). Сказанное относится к так называемым «линейкам подчиненности», которыми определяется доведение управленческих воздействий до исполнителей, но то же самое относится и к организации «линеек подотчетности», обеспечивающих контролируемость исполнения указаний — результатов этих воздействий. В условиях применения в кредитной организации сложных банковских информационных технологий, когда уровни многих компонентов банковских рисков прямо зависят от своевременности принятия и качества управленческих решений, их передачи по иерархии организации, равно как и от способности менеджмента проконтролировать их исполнение в форме специально организованных компьютеризованных процедур, решение таких вопросов целесообразно ставить «во главу угла» ввиду их принципиальной значимости[87].

В отсутствие официально принятого в кредитной организации (в связи с внедрением ТЭБ) методологического подхода, адекватного изменению ее бизнес-процессов, вновь внедряемые информационные технологии, помимо отсутствия предполагаемых выгод, могут неожиданно стать «головной болью» как для операционных и обеспечивающих подразделений кредитной организации, так и для ее руководителей. Необходимо отметить, что в ходе изучения применения технологий такого рода нередко приходится сталкиваться со своеобразным «руководящим мнением», что любая ТЭБ — это не более чем разновидность упоминавшегося электронного документооборота (или «транспорта» между кредитной организацией и ее клиентами, как уже отмечалось), и доля истины в этом, безусловно, есть. Однако наличие ИКБД, в котором реализуется такой документооборот, взаимная анонимность кредитной организации и клиентов ДБО и использование «высоких технологий» для обеспечения гарантий идентичности агентов информационного взаимодействия, аутентичности его содержания и верификации полномочий оказываются слишком серьезными факторами возникновения дополнительных источников компонентов банковских рисков, чтобы можно было занимать такую «безразличную» позицию в отношении применения этих технологий.

Важно осознавать, что перевод банковской деятельности в виртуальное пространство, сулящий кредитным организациям заметные выгоды, а их клиентам ни с чем не сравнимые удобства, требует принятия «грамотных» решений относительно формирования пруденциальных условий применения технологий и систем электронного банкинга, адекватных их сложности и специфике формируемого при этом ИКБД (с позиций управления и контроля). Для выработки таких решений требуется не только наличие специальной достаточно высокой квалификации (желательной и у менеджмента кредитной организации высшего звена), но и нетрадиционная организация подконтрольности и подотчетности в рамках типовых внутрибанковских процессов[88]. Следует отметить также, что эти процессы, оставаясь типовыми по своему существу, в условиях электронного банкинга приобретают многочисленные новые, нетипичные для традиционной банковской деятельности характеристики, как это будет показано в главе 5. Эти характеристики целесообразно определять для каждой ТЭБ и отражать во внутрибанковских документах начиная с тех, которые регламентируют процесс УБР.

4.1. Интерпретация принципов корпоративного управления в приложении к условиям применения электронного банкинга

Интерес зарубежных органов банковского регулирования и надзора к проблематике собственно корпоративного управления наметился уже достаточно давно — разработки в этой области начались более десяти лет назад, однако активно использовавшиеся уже тогда варианты систем электронного банкинга в них не упоминались. Как ни странно, этой проблематике и до настоящего времени должного внимания не уделяется. Организация экономического сотрудничества и развития (ОЭСР) представила первый проект своих рекомендаций весной 1999 г., после чего в том же году аналогичные рекомендации разработал БКБН[89]. Затем, в 2004 г., ОЭСР был выпущен итоговый документ, содержащий описание базовых положений по корпоративному управлению[90] (эти материалы в дальнейшем послужили основой для серии аналогичных национальных западноевропейских и восточноазиатских разработок). В этих материалах определены направления, по которым может оцениваться состояние корпоративного управления, семантически совпадающие с рекомендациями, предложенными БКБН, из числа которых к рассматриваемой теме имеют непосредственное отношение следующие:

распределение полномочий между органами управления;

утверждение стратегии развития деятельности кредитной организации;

контроль за реализацией этой деятельности;

координация управления банковскими рисками;

мониторинг системы внутреннего контроля.

К числу других направлений относятся:

— организация деятельности совета директоров (наблюдательного совета);

— предотвращение конфликта интересов участников;

— отношения с аффилированными лицами;

— определение правил и процедур, обеспечивающих соблюдение принципов профессиональной этики;

— координация раскрытия информации о кредитной организации.

Несмотря на то что содержание рекомендаций, предложенных

упомянутыми выше международными организациями, не вызывает сомнений, все же современные условия финансовой деятельности в целом и банковской деятельности в частности, во многом определяемые обеспечивающими их компьютерными информационными технологиями, требуют специфической детализации в части практического учета их особенностей и содержания адаптации организации корпоративного управления в новых условиях. Объясняется это тем, что, как уже подчеркивалось, обеспечение «пруденциальности» указанных условий требует от совета директоров и высшего руководства кредитной организации проявления совокупной квалификации, позволяющей ориентироваться в киберпространстве ИКБД, управлять процессами, которые в нем протекают, и контролировать их.

Во всех упоминавшихся материалах речь идет преимущественно о распределении функций, обязанностей и ответственности, прав и полномочий, общем содержании тех или иных внутрибанковских документов, ключевых внутрибанковских процессах, характеристиках ответственных лиц кредитных организаций и т. п. С административно-организационной точки зрения вопросы такого рода безусловно важны, ибо они описывают структурную основу банковской деятельности любой кредитной организации. Однако современные и перспективные условия реализации банковского обслуживания оказываются настолько сложны и специфичны, что одних только вопросов общего плана оказывается недостаточно. Теперь на передний план выходит конкретизация содержания процессов, процедур, обязанностей, ответственности, полномочий и т. п., реализуемых на практике. К слову сказать, сама практика как раз и свидетельствует о том, что зачастую правильные административно-организационные решения и положения сопутствующих им внутрибанковских документов на практике оказываются не более чем «декларациями о намерениях». Наиболее типичными примерами этого являются: распределение ответственности, не подкрепленное должными квалификационными требованиями, формально составленные документы (распорядительные, организационные, инструктивные и пр.), «разорванные» «линейки» подчиненности и подотчетности, недопустимая концентрация прав и полномочий, а также самое главное — отсутствие полноценного мониторинга внутрибанковских процессов, т. е. того, что БКБН определяет как «эффективный управленческий контроль»[91].

Усугубляется ситуация тем, что какие-либо конкретные рекомендации относительно организации и содержания корпоративного управления, реализуемого в кредитной организации, внедряющей ТЭБ, пока еще никем не разработаны. В то же время продолжается периодическое обновление зарубежными органами банковского регулирования и надзора своих материалов, посвященных принципиальным вопросам организации корпоративного управления в целом, и даются рекомендации по его совершенствованию. Одним из последних и, наконец-то, наиболее полноценным руководством такого рода явился документ под названием «Совершенствование корпоративного управления в банковских организациях», разработанный БКБН[92]. Этот документ используется здесь в качестве основы для интерпретации подходов к ведению банковского дела в киберпространстве с позиций анализа влияния особенностей вновь внедряемых технологий и систем электронного банкинга на бизнес-модели и внутрибанковские процессы в кредитных организациях.

В преамбуле к публикуемым рекомендациям БКБН разъясняет, что «практика эффективного корпоративного управления необходима для достижения и поддержания общественного доверия к банковской системе и уверенности в ней, что критично важно для должного функционирования банковского сектора и экономики в целом. Плохое корпоративное управление может привести к банкротству банков, что приведет к значительным потерям общества и последствиям ввиду их влияния на любые „жизнеспособные системы страхования вкладов“’ и возможности более обширных макроэкономических осложнений типа распространения риска[93] и воздействия на платежную систему. Кроме того, плохое корпоративное управление может привести к утрате уверенности рынка в возможностях банков должным образом управлять своими активами и пассивами, включая депозиты, что в свою очередь может спровоцировать отток вкладов или кризис ликвидности». Следует отметить, что такие характеристики, как «эффективное», «плохое», «должным образом», не поясняются, что свойственно материалам БКБН, который обычно не слишком заботится о точном определении понятийного аппарата.

Можно отметить тем не менее, что первое положение, учитывая трактовку его с позиций самой идеи ДБО, говорит по существу о необходимости поддержания доверия со стороны клиентов кредитных организаций к процессу именно дистанционного предоставления банковских услуг. Дискредитация такой идеи скорее всего нанесла бы непоправимый ущерб многим банковским учреждениям, учитывая уже понесенные и «договоренные» затраты на современные банковские технологии и их аппаратно-программное обеспечение (АПО). Это касается, кстати, и всех так называемых «частных платежных систем», которые получили чрезвычайное широкое распространение в последние два года (речь идет о разнообразных платежных терминалах и системах перевода денежных средств, фактически уже превратившихся в компонент российской финансовой системы). Второе приведенное положение комментариев не требует, а третье непосредственно связано с реализацией правового и операционного рисков. Следует отметить, что акцент на этих двух рисках для БКБН стал уже традиционным[94], хотя значимость остальных перечисленных в главе 2 банковских рисков, прямо связанных с административными, управленческими, технологическими и организационно-техническими причинами (угрозами), отрицать в российском банковском секторе на сегодняшний день невозможно.

В материалах БКБН говорится, что «предложенные ОЭСР принципы определяют корпоративное управление как включение [в него] совокупности отношений между менеджментом компании, ее советом, акционерами и другими заинтересованными лицами[95]. Корпоративное управление предоставляет структуру, через посредство которой устанавливаются цели компании, а также определяет средства достижения этих целей и мониторинга функционирования. Хорошее корпоративное управление должно обеспечивать должные стимулы для совета и менеджмента, чтобы достигались цели, представляющие интерес для компании и ее акционеров, а также способствовать эффективному мониторингу». Можно отметить явное несоответствие базового определения семантике самого понятия «управление», которое изначально представляет собой процесс, а поэтому никак не может являться какой-либо «совокупностью отношений». Впрочем, здесь важно подчеркнуть, что само наличие мониторинга, который в высокотехнологичной среде неизбежно должен быть не менее «технологичным», не так просто организовать (что будет показано ниже), причем для этого потребуется наличие весьма специфических знаний и опыта и у самого «совета», и у высшего менеджмента кредитной организации, и у подбираемых ими кадров.

Далее в преамбуле рассматриваемого документа заявлено, что «с позиций банковского сектора корпоративное управление включает способ управления деловой активностью и банковской деятельностью со стороны Совета директоров и высшего руководства, который влияет на то, как они:

— устанавливают корпоративные цели;

— осуществляют банковский бизнес на повседневной основе;

— выполняют обязательства в части подотчетности перед своими акционерами и учитывают интересы других правомочных заинтересованных лиц;

— обеспечивают соответствие корпоративной деятельности и поведения ожиданиям того, что банки будут работать безопасным и надежным образом в соответствии с действующим законодательством и правилами; а также

— защищают интересы вкладчиков».

Надо сказать, что «корпоративные цели» кредитной организации, внедряющей ту или иную ТЭБ, как правило, непосредственно связаны с конкурентной средой и учетом пожеланий клиентов (об этом явно свидетельствуют данные социологических опросов). Что касается «повседневной» банковской деятельности, то в условиях применения ТЭБ это означает как минимум текущий мониторинг руководством кредитной организации реализации бизнес-плана и поддержания бизнес-моделью соответствующего варианта ДБО. Понятно, что то и другое может иметь место только в том случае, если органы управления кредитной организации понимают особенности ДБО (конкретной ТЭБ) и располагают адекватными средствами контроля, для чего им следует позаботиться о наличии таких средств еще до практического внедрения соответствующих систем, т. е. на стадии их проектирования либо, в случае сторонней разработки, принятия решения о приобретении такой СЭБ. В свою очередь это требует от представителей органов управления понимания технологических и технических особенностей функционирования ИКБД и системы, которую было решено внедрить для достижения стратегических целей кредитной организации (или наличия в руководстве кредитной организации некоего комитета, состоящего из специалистов необходимой квалификации).

Важным вопросом является учет интересов таких «заинтересованных лиц», как представители органа банковского надзора. Понятно, что в условиях применения ТЭБ, реализуемых в киберпространстве (которое по определению является виртуальным), кредитной организации придется позаботиться о гарантиях соответствия осуществления банковской деятельности установленным требованиям, которые она сможет представить таким лицам. При этом крайне желательно и создание условий для проведения при необходимости эффективной проверки этими (уполномоченными) лицами результатов применения ТЭБ в плане оценки того же соответствия. Надо сказать, что в этой ситуации, как и вообще при проверке функциональности автоматизированных систем, от всех взаимосвязанных участников такого процесса требуется демонстрация специальных знаний и квалификации начиная с разработки программ, методик и контрольных примеров для испытаний и кончая определением и оценкой свидетельств подтверждения заданной функциональности. Следует отметить, что сказанное в равной мере относится и к работе служб внутреннего контроля, обеспечения информационной безопасности и финансового мониторинга кредитной организации.

Обеспечение технологической надежности функционирования кредитных организаций, осуществляющих ДБО, в условиях открытых систем (например, через Интернет или мобильную связь), также является достаточно непростой задачей, особенно в части парирования возможного негативного влияния сопутствующих источников и факторов рисков. Совету директоров и высшему руководству кредитной организации, использующей ТЭБ, целесообразно заранее (на этапе принятия решений о переходе к ДБО) предусмотреть реализацию совокупности взаимосвязанных мероприятий, направленных на такое обеспечение. Для этого желательно иметь полное представление об особенностях возникновения и проявления источников и факторов риска, обусловленных работой в киберпространстве. Понятно, что даже в отсутствие официальной регламентации ничего страшного в применении ТЭБ в обеспечение банковской деятельности нет — при условии соблюдения элементарных правил здравого смысла и наличии необходимого минимума технических знаний. Тем не менее практика свидетельствует о том, что подавляющее большинство проблем в процессе ДБО возникает как раз из-за того, что о соблюдении правил такого рода органы управления кредитных организаций почему-то не задумываются. Следствием же этого становятся серьезные недостатки в организации внутрибанковских процессов и процедур, в содержании внутрибанковских распорядительных документов, порядков, положений, инструкций и т. п., а также в распределении функций, ответственности, обязанностей, прав и полномочий и т. д., равно как и в контроле над ними.

К этим проблемам тесно примыкает защита интересов вкладчиков, которые, как было отмечено выше, также входят в число «заинтересованных лиц». Впрочем, речь здесь должна была бы идти не только о тех клиентах кредитных организаций, которые связаны с ними именно договорами банковского вклада, но и обо всех лицах, которым требуются банковские услуги этих организаций (это важно с точки зрения содержания договоров на ДБО и внутрибанковских порядков, регламентирующих претензионную работу, где сложно найти соответствующие упоминания, поскольку акцент всегда делается на интересах самой кредитной организации). Таких лиц, понятно, намного больше, чем вкладчиков, вследствие чего и обязательства кредитных организаций оказываются существенно шире, особенно если учитывать многообразие возможных банковских услуг, реализуемых в рамках электронного банкинга, и вариантов ответственности кредитных организаций перед своими клиентами и органом банковского надзора. Корпоративность управления как раз и заключается в том, что гарантии выполнения этих обязательств следовало бы обеспечивать на всех уровнях менеджмента кредитных обязательств по всем «линейкам» подчиненности и подотчетности. Эти «линейки» сами подлежат адаптации вместе с внутрибанковскими процессами и процедурами, модифицируемыми при внедрении новых технологий банковского обслуживания в их жизненных циклах, за что отвечают, естественно, совет директоров и высшее руководство кредитной организации.

В завершение преамбулы рассматриваемого документа подчеркивается, что «практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается банк, или при необходимости принятия значимых корректирующих мер».

Очевидно, что при применении ТЭБ проблемные ситуации могут оказаться достаточно нетрадиционными и вообще связанными не только с самой кредитной организацией, но и с действиями ее удаленной клиентуры (которая весьма «охотно», например, создает инциденты информационной безопасности или делает ошибки при попытках осуществить банковские операции в рамках ДБО), а также с проблемами, которые могут иметь место на территории провайдера кредитной организации. В отношении таких ситуаций руководству кредитной организации целесообразно четко осознавать наличие тех или иных зависимостей банковской деятельности от третьих сторон, т. е. компаний, которые эту деятельность «всего лишь» обеспечивают. В большинстве случаев клиенты кредитной организации об этом обеспечении вряд ли догадываются, а поэтому, как показывает практика, все проблемы, связанные с выполнением обязательств сторонними организациями, задействованными в ИКБД, решать приходится сотрудникам самой этой организации (тот же второй, а то и первый уровень процессного подхода). В связи с изложенным уместно привести точку зрения Федеральной корпорации страхования депозитов США[96], выраженную в одном из руководств по оцениванию рисков, связанных с информационными системами: «Если финансовое учреждение взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, обслуживанием систем, администрированием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, связанных с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то его руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».

Эта формулировка имеет в известном отношении частный характер, но идея, заложенная в ней, понятна: за уровень обслуживания, обеспечиваемый провайдером, по американским канонам ответственность несет тот, кто его нанимает для оказания услуг кредитной организации.

В дополнение к сказанному следует заметить, что даже при заранее предусмотренной реорганизации корпоративного управления, которое, предположим, уже было реализовано в кредитной организации до внедрения очередной новой технологии ДБО, лицам, ответственным за управление рисками, все равно целесообразно осуществлять комплексный анализ возможного смещения профиля риска. Это обусловлено тем, что любая новая, тем более, возможно, не до конца изученная технология при всех своих достоинствах может преподнести малоприятные сюрпризы. К примеру, внедрение банковского обслуживания через Интернет может оказаться для кредитной организации чрезвычайно выгодным, только если ею приняты все меры:

— для гарантированной идентификации клиентов кредитной организации, которые приобретают известную анонимность (как и при любом ДБО);

— достоверной аутентификации информационных сообщений, поступающих из внешнего мира и ассоциируемых с легитимными клиентами;

— полноценного обеспечения информационной безопасности БАС, учитывающего угрозы сетевых атак[97];

— эффективной фильтрации входящего трафика ордеров клиентов вместе с реализацией специфических функций финансового мониторинга;

— обеспечения надежности ДБО с учетом форс-мажорных обстоятельств, в том числе связанных с работой провайдеров кредитной организации и т. п., помимо перечисленных самоочевидных положений.

Очевидно, что эффективное корпоративное управление в оптимальном варианте учитывает все особенности технологий и систем ДБО, которые требуют наличия специальных знаний у представителей как Совета директоров кредитной организации, так и ее высшего руководства (в терминах БКБН). В противном случае инициировать организацию новых внутрибанковских процессов в кредитной организации и адаптацию уже действующих окажется практически некому, если только не найдутся энтузиасты-исполнители.

В самом начале рассматриваемого документа акцентировалась необходимость обеспечения «эффективного корпоративного управления» (п. 8). Поскольку в анализируемом тексте определение этого понятия, т. е. того, какое именно корпоративное управление может считаться эффективным, отсутствует, логично предложить его интерпретацию исходя из описаний недостатков, которые свойственны наблюдаемым реалиям. Прежде всего это касается собственно перехода кредитной организации к обслуживанию клиентов посредством электронного банкинга начиная с возникновения первичных идей и предпосылок, относящихся к развитию банковского бизнеса в современных конкурентных условиях, продолжая адаптацией внутрибанковских процессов и заканчивая созданием пруденциальных условий применения технологий и автоматизированных систем такого рода. Изучение того, каким образом нередко подготавливается такой переход, свидетельствует, что во многих случаях итоговые решения, после которых «запускается» процесс внедрения тех или иных ТЭБ, принимаются если и не совсем стохастически, то, во всяком случае, без должного обоснования. Понятие «должное» употреблено здесь в том смысле, который, как правило, закладывает в свои документы БКБН. Здесь речь идет о целесообразности полноценного ТЭО при максимально возможном учете факторов, влияющих на содержание и качество банковской деятельности с учетом динамики рыночной конъюнктуры. В рассматриваемом документе, как отмечалось, говорится лишь о влиянии корпоративного управления:

на осуществление банковской деятельности на повседневной основе;

выполнение обязательств в части подотчетности перед своими акционерами и другими лицами;

обеспечение соответствия корпоративной деятельности и поведения ожиданиям того, что банк будет работать безопасным и надежным образом в соответствии с действующим законодательством и правилами.

Далее в анализируемом документе отмечается роль корпоративного управления в определении так называемых средств «мониторинга функционирования» [кредитной организации], который к тому же должен быть «эффективным» (п. 9). Понимание сложности ТЭБ, трактуемых как основа для осуществления современной банковской деятельности, вынуждает признать, что эффективным может считаться только такой мониторинг, который действительно позволяет контролировать функционирование кредитной организации как реального объекта, но через виртуальное пространство, с наличием всей информации, необходимой для принятия конструктивных решений относительно дальнейшего поддержания надежности банковской деятельности. В этом отношении остается только пожалеть, что БКБН не описал, помимо желательного распределения полномочий среди членов совета директоров, кто будет эти полномочия распределять. Это, как и в случае процессного подхода, тоже своего рода мета-уровень ответственности, которую могут нести только персоны с «недюжинным», т. е. двойным и тройным высшим образованием (а куда без него денешься в современной высокотехнологичной банковской сфере?!). Выполнение решений, кстати, необходимо контролировать, однако в условиях ТЭБ соответствующие процедуры основываются на компьютерных технологиях, и это неизбежно.

Давно известно, что сложность контролирующих систем может от двух до десяти раз превышать сложность систем контролируемых. Понятно, что кредитные организации не могут позволить себе такую роскошь, поэтому и система внутреннего контроля во многих кредитных организациях в отношении современных информационных технологий зачастую «так себе» и решение многих, особенно технологических и технических вопросов остается «на доверии». О выполнении же упоминавшегося принципа «четырех глаз» как при принятии решений, так и при осуществлении контроля нередко просто не приходится говорить, потому что даже при наличии этих «глаз» их квалификация (а это — главное!) ни в коей мере не адекватна сложности информационных технологий, применяемых кредитными организациями. Возникает логичный вопрос, а на чем в таком случае будет основана уверенность органов управления этих организаций в том, что все идет «как надо»? Какие гарантии именно руководство кредитной организации сможет дать ее клиентам и контролирующим органам? И вообще, так сказать, «кто охраняет часового» в современных условиях банковской деятельности и в ней самой?

Надо отметить, справедливости ради, что в других своих материалах БКБН постулирует необходимость проведения тщательного предварительного анализа новых банковских продуктов и видов деятельности, который позволил бы гарантировать понимание характера связанных с ними рисков и возможности его учета в процессе управления рисками. При этом еще до введения нового продукта руководству кредитных организаций предлагается утвердить адекватные функциональные инструкции и адаптировать систему управления рисками. Одновременно подчеркивается важность различения руководством кредитных организаций рисков, присущих новым продуктам и операциям, и учета их в соответствующих внутрибанковских инструкциях и системе контроля. Причем указывается, что нововведения, связанные с хеджированием рисков или управлением ими, следует заблаговременно рассматривать правлению кредитной организации или специально созданному им комитету. Следует заметить, что БКБН во многих своих материалах делает акцент на создании различных комитетов в высших органах управления кредитных организаций, особенно в ситуациях, связанных с потенциальными смещениями профилей банковских рисков (а это происходит практически всегда при внедрении ТЭБ). В то же время вопросы ответственности за правильный состав и выбор специалистов в таких комитетах, особенно когда речь идет о высоких технологиях, как правило, не обсуждаются и конкретные рекомендации не приводятся.

Из приведенных выше положений изначально следует то, что на всех иерархических уровнях управления в организации целесообразна преемственность, рассматриваемая как с позиций соответствия текущей и перспективной банковской деятельности принятой в кредитной организации «политике» (любимый термин БКБН), так и в плане обеспечения требуемой квалификации персонала, ответственного за успех этой деятельности. Это в свою очередь предполагает наличие на каждом из уровней менеджмента специалиста такой квалификации, которая позволяет ему подбирать подходящих специалистов следующего, более низкого уровня. А те уже в свою очередь должны обладать способностями, позволяющими эффективно работать с вновь внедряемыми технологиями и реализующими их системами и т. д. Тем самым обеспечивается преемственность на каждом из уровней менеджмента по всем формируемым в кредитной организации иерархическим «линиям» распределения обязанностей/ответственности и подчиненности/подотчетности, а значит, создаются и гарантии выполнения кредитной организацией принятых на себя обязательств.

Что касается эффективности системы корпоративного управления, то она определяется гарантиями достижения установленных в организации бизнес-целей на каждом из уровней менеджмента. Это в свою очередь зависит от того, насколько успешно адаптированы указанные линии к новым условиям наряду с внутрибанковскими процессами и процедурами. В любом случае при внедрении сложных банковских компьютерных технологий, способных внести серьезные изменения в ее бизнес-модели, необходимо задуматься, как минимум, о переподготовке персонала и о том, кем будут определяться состав и содержание соответствующих учебных курсов (иначе об «эффективности» говорить не придется), или же о целесообразности приема на работу специалистов, имеющих необходимую квалификацию. То и другое, на взгляд автора, неплохо иллюстрируется карикатурой, приведенной на рис. 4.1 (см. сайт www.cartoonbank.com). Понятно, что на каждом уровне менеджмента и на конкретную исполнительскую должность необходимо «помещать» специалиста минимально необходимой, а лучше более высокой квалификации. В условиях внедрения в кредитной организации новой ТЭБ решение этой кадровой проблемы становится непростой задачей.

Таким образом, как и раньше, в высокотехнологичной среде «кадры решают все»; однако не только в рассмотренной части, поскольку в анализируемом документе БКБН фигурируют также понятия «надежное корпоративное управление» и «эффективное наблюдение» («естественно», не определенные в тексте документа). Эти понятия введены в связи с кратким упоминанием позиции органа банковского надзора (п. 11), который «чрезвычайно заинтересован в надежном корпоративном управлении, поскольку оно является необходимым компонентом безопасного и надежного функционирования банка и может влиять на профиль риска в случае ненадлежащей его реализации. Ввиду того что функции Совета директоров и высшего руководства в части определения политики, реализации политики и мониторинга соответствия требованиям являются ключевыми элементами функций контроля над банком, эффективное наблюдение над деятельностью и сделками банка со стороны его Совета и высшего руководства содействует поддержанию эффективной и рентабельной системы надзора. Надежное корпоративное управление содействует также защите вкладчиков кредитной организации и позволяет органу банковского надзора в большей степени полагаться на внутрибанковские процессы управления банковскими рисками и внутреннего контроля. Более того, практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается кредитная организация, или при необходимости принятия значимых корректирующих мер, поскольку надзор может потребовать от Совета директоров его существенного вовлечения в поиск решений и контроль реализации корректирующих мер».

Первое из двух упомянутых и необходимых для интерпретации базовых понятий, относящихся к «надежности», можно связать с наличием в системе менеджмента кредитной организации обоснованных гарантий такого выполнения функций, установленных на каждом из его иерархических уровней, или, иначе, должностных обязанностей, которое в свою очередь обеспечивало бы выполнение всей организацией своих обязательств перед клиентами и контролирующими органами. Для этого такие обязанности, равно как и квалификационные требования, должны соответствовать конкретным операционным функциям, предусмотренным на технологических участках во вновь вводимой СЭБ. Это относится не только к повседневной деятельности специалистов кредитной организации, но и к действиям в условиях возможных чрезвычайных ситуаций, которые следует предусматривать и оформлять в виде плана действий на случай таких обстоятельств. К сожалению, практика свидетельствует о том, что до этих важнейших аспектов банковской деятельности корпоративность отечественного банковского управления не всегда «дотягивает». Упоминавшийся разрыв между восприятием содержания банковской деятельности и осознанием новых форм ее осуществления посредством технологий и систем электронного банкинга проявляет себя и здесь, из-за чего ответственность за операционные функции часто «делегируется» самим исполнителям, которые, мало того, еще и сами себя контролируют (второй уровень процессного подхода).

Другое понятие, связанное с результативностью наблюдения, также имеет прямое отношение как к квалификации менеджеров разного уровня, так и к структуре кредитной организации и отдельных ее подразделений, так или иначе имеющих отношение к применению ТЭБ. Под эффективным наблюдением можно понимать лишь такой контроль, при котором полностью осознаются и учитываются системные взаимосвязи отдельных процедур, входящих в состав, возможно, разных внутрибанковских процессов.

На практике руководители перечисленных выше служб нередко не получают всех необходимых для адаптации реализуемых процедур указаний от курирующих вице-президентов или аналогичных должностных лиц кредитных организаций. Достаточно часто встречаются ситуации, когда даже в документарное обеспечение этих подразделений не вносится никаких изменений и дополнений несмотря на то, что кредитная организация внедряет одну систему ДБО за другой (как правило, это две и более системы интернет-банкинга, ориентированные на разную клиентуру или работающие через разные информационные контуры, системы интернет-трейдинга, мобильного банкинга, банкоматов и т. п.). Очевидно, что в подобных ситуациях ни о каком корпоративном управлении говорить не приходится, что бы при этом ни декларировалось кредитной организацией.

Вместе с тем не менее очевидно, что в условиях применения нескольких систем ДБО целесообразно использовать комплексный подход к организации деятельности перечисленных выше служб, а такая комплексность заведомо является прерогативой высших органов управления кредитной организацией, что, кстати, также постулируется БКБН. Фактически речь идет о принятии согласованных решений относительно одновременного внесения изменений в работу не одной, но ряда служб кредитной организации, что обусловлено именно радикальными изменениями в способах и условиях банковского обслуживания, привносимых ТЭБ, и мысль об этом упорядочении должна по идее стать превалирующей для этих органов управления.

Прежде всего такие изменения касаются работы службы автоматизации (информатизации) кредитной организации, которой неизбежно потребуется осознание особенностей нового ИКБД и к тому же обладание новой квалификацией в связи с внедрением новой для нее ТЭБ. Это может быть связано с возникновением необходимости изменения конфигурации внутрибанковской вычислительной сети (локальной или зональной), включая внедрение новых серверных мощностей для обслуживания расширяющейся клиентской базы и обработки направляемых клиентами ордеров. Это в свою очередь означает выделение дополнительного финансирования (а поскольку такое финансирование часто осуществляется по остаточному принципу, то потребуется еще и доказательная база, а доказывать надо известно кому — «корпоративным управляющим» и главному бухгалтеру); далее идут выбор поставщиков аппаратно-программного обеспечения, заключение контрактов, поставки, испытания, опытная эксплуатация и т. д. В то же время сама кредитная организация заинтересована в том, чтобы независимо от того, какие именно новые технологии внедряются, они не оказали негативного влияния на ее функционирование и опять-таки на выполнение взятых на себя обязательств перед клиентами и контролирующими органами.

При организации бизнес-процессов основными факторами надежности функционирования кредитной организации становятся именно программно-алгоритмическое обеспечение и обслуживание банковских автоматизированных систем и систем электронного банкинга. Этот постулат не является «открытием», но он приведен здесь потому что от этих факторов прямо зависит целостность клиентских и банковских данных и доступность банковского обслуживания. Под целостностью здесь уместно понимать соответствие информации установленным требованиям и невозможность ее несанкционированного изменения (искажения), а под доступностью — наличие возможности получения доступа авторизованными пользователями к требуемому им АПО — автоматизированным системам и приложениям (прикладным программам). Вопросы доступности сервисов кредитной организации и целостности передаваемых, обрабатываемых и хранимых банковских и клиентских данных в условиях ДБО становятся актуальными и для самой организации, и для ее клиентов, а следовательно, АПО БАС и СЭБ должны быть организованы таким образом, чтобы не оставалось незакрытых «дыр» в информационном обеспечении претензионной работы, финансового мониторинга, а также контролирующих, правоохранительных и судебных органов.

Следом за этим новая квалификация потребуется и службе внутреннего контроля, поскольку появятся новые (и не самые простые) подлежащие контролю процедуры. При этом возникают новые информационные сечения в БАС и (или) между нею и каждой СЭБ, новые информационные потоки, которые тоже необходимо контролировать, дополнительные массивы банковских и клиентских данных (начиная с бухгалтерского учета и заканчивая финансовым мониторингом, для которого установлен специальный набор правил и программ[98]), равно как и новые формы банковской отчетности (внутренней и внешней, например, по форме 0409251). С точки зрения финансового мониторинга условия ДБО специфичны в первую очередь тем, что кредитная организация не всегда может быть уверена в том, что работает с официально зарегистрированным ею, легитимным клиентом (поскольку возникает непростая проблема обнаружения передачи средств (т. е. прав и полномочий) доступа к банковским счетам и управления ими при совершении противоправных действий, например финансовых преступлений). Следовательно, должен однозначно решаться вопрос: доступность для кого? Банк России, кстати, в свое время обратил на это внимание, выпустив соответствующие документы: Положение Банка России от 19 августа 2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Положение 262-П) и Письмо Банка России от 30 августа 2006 г. № 115-Т «Об исполнении Федерального закона „О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма“ в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)». В свою очередь клиент не всегда может быть уверен в том, что он действительно работает со «своим банком» (это проблема обнаружения, к примеру, «фишинга» и предотвращения соответствующих негативных для клиентов последствий).

Кроме того, добавляются вопросы пруденциальной организации взаимоотношений с провайдерами, входящими в ИКБД, которых тоже желательно контролировать с позиций обеспечения непрерывности процессинга, финансового состояния, доступности систем ДБО и т. п. Этот факт свидетельствует о целесообразности разработки и внедрения нового внутрибанковского процесса, в котором должны участвовать несколько структурных подразделений кредитной организации: информатизации, внутреннего контроля, информационной безопасности, правового обеспечения и т. д.

Если говорить конкретно об обеспечении информационной безопасности, то с ним возникает наибольшее количество проблемных вопросов, обусловленных возникновением того же ИКБД, следствием чего оказываются прежде всего расширение периметра информационной безопасности и возникновение новых зон концентрации источников рисков, а также расширение некоторых зон ответственности кредитной организации (хотя есть и другие аспекты). Необходимо отметить, что «сводить» решение всех проблем ДБО в рамках комплексного подхода с учетом вопросов информационной безопасности (в совокупности, кстати, с тем же внутренним контролем, проверяющим, как с ней обстоят дела) все равно приходится высшему руководству кредитной организации. Само «комплексирование» такого рода представляет собой отдельную задачу охватывающую синхронное видоизменение сразу нескольких внутрибанковских процессов с позиций обеспечения информационной безопасности кредитной организации, электронного банкинга и ее клиентов. Конечно, с внедрением ТЭБ ничего страшного не происходит при условии принятия грамотных и адекватных ситуации решений, но их еще надо принять, и обоснованно.

Специальное внимание целесообразно уделить также работе юридической службы кредитной организации, ведь отношения организации с клиентами в условиях ДБО меняются радикально. С одной стороны, целесообразно предусмотреть в текстах договоров с клиентами положения, которые взаимно обезопасили бы обе стороны от возможных конфликтных ситуаций, которые могут возникнуть в связи с отмечавшейся взаимной анонимностью. Следует подчеркнуть, что это не такая простая проблема, как может показаться, ввиду ряда сопутствующих негативных факторов. Типичными примерами являются обеспечение невозможности отказа от операции (взаимной), т. е. придание операции бесспорного характера в условиях документарного обмена в электронной форме, и распределение ответственности между сторонами в ситуациях прерывания обслуживания, как минимум, между кредитной организацией и каким-то провайдером. Есть еще и проблема противоправного использования ТЭБ за счет анонимности сторон, связанной с удаленностью.

Эти соображения в свою очередь обусловливают весьма внимательное отношение к содержанию договоров на ДБО, заключаемых кредитной организацией и с клиентами, и с провайдерами, а также процедурам финансового мониторинга. Поэтому специалистам юридической службы кредитной организации также уместно разбираться в технологических и даже, пожалуй, в технических вопросах, и такой квалификацией лучше обладать заранее, до того как клиент, совершивший ошибку или пострадавший от действий хакера, предъявит претензии по поводу пропавших денежных средств или сама кредитная организация окажется втянута через ДБО в аферу. При организации правовой поддержки ДБО и комплайенс-контроля полезно учитывать также дефицит специальной квалификации в области информационных технологий у лиц, принимающих судебные решения, и не очень богатую арбитражную практику. Кстати, в договорах на ДБО часто фигурируют упоминания о создании специальных комиссий, разбирающих конфликтные ситуации, но о требованиях к их составу, порядку формирования и работы, итоговым документам и их юридической силе и т. п. в этих документах нередко ничего не говорится. Все перечисленное свидетельствует о том, что руководству кредитной организации надо преодолеть «квалификационный разрыв» на стыке разных дисциплин, и это — еще один негативный фактор, препятствующий достижению «истинной» корпоративности управления.

Во избежание реализации описанных здесь сценариев развития угроз надежности банковской деятельности целесообразно еще до перехода к практическому использованию ДБО и обслуживанию (не только представителей персонала кредитной организации, с чего часто начинаются пилотные проекты такого рода — своего рода этап бета-тестирования СЭБ) модернизировать организацию собственно принятия управленческих решений и контроля, корпоративного по своим принципам и масштабу. В литературе по этому вопросу оба этих процесса обычно объединяют в одно понятие «корпоративного управления», и хотя, с точки зрения автора, это не совсем корректно, в последующем изложении будет учитываться именно такой подход.

Для полноты картины, которая формируется анализируемым документом БКБН, следует упомянуть, что специальный раздел в нем посвящен роли надзорных органов, о чем руководителям кредитных организаций полезно иметь представление. В отношении этих контролирующих органов сформулированы и кратко поясняются шесть положений, которые, вероятно, также целесообразно учитывать совету директоров кредитной организации при формировании структуры корпоративного управления и распределении ответственности и обязанностей, подчиненности и подконтрольности. Каждое из таких положений начинается со слов «сотрудникам надзора следует», после которых формулируется содержательная часть описания функций этих сотрудников, а именно:

— обеспечивать наличие рекомендаций (руководства) для банков по надежному корпоративному управлению и его «проактивному»[99] внедрению;

— рассматривать корпоративное управление как элемент защиты вкладчиков;

— определять, насколько банк воспринял и эффективно реализовал политику и практику надежного корпоративного управления;

— оценивать качество функций аудита и контроля в банке;

— анализировать влияние групповой структуры банка;

— обращать внимание совета директоров и руководства банка на проблемы, которые были выявлены в процессе выполнения надзорных функций.

Рассмотрение этих положений выходит за рамки книги, хотя можно отметить, что совмещение в одном документе рекомендаций для кредитных организаций и для органа банковского надзора может, вероятно, способствовать улучшению взаимопонимания между контролируемыми организациями и, как обычно пишет в своих документах БКБН, «регулятором» банковской деятельности. Ниже предлагается описание установленных этим комитетом принципов корпоративного управления вместе с их интерпретацией в приложении к практическому применению кредитными организациями технологий электронного банкинга с риск-ориентированной точки зрения.

4.2. Особенности организации управления и контроля в условиях применения электронного банкинга

Базельский комитет по банковскому надзору определил и прокомментировал следующие восемь принципов надежного корпоративного управления[100].

Принцип 1. Члены совета директоров должны быть квалифицированы для своих должностей, иметь ясное понимание своей роли в корпоративном управлении и быть способны выносить обоснованные суждения относительно деятельности банка.

В документе при этом подчеркивается, что «совет директоров является основным ответственным за операции и финансовую надежность своего банка», «банкам следует иметь адекватное количество и должную комбинацию директоров», и определяется ряд базовых требований к составу и содержанию деятельности руководящих органов кредитной организации. В современных условиях банковской деятельности (текущих и перспективных), т. е. в условиях применения технологий электронного банкинга осознание содержания ответственности и комбинация квалификаций директоров представляют собой наиважнейшие требования, которые акционерам кредитной организации и ее наблюдательному совету следовало бы изначально предъявлять к высшему руководству такой организации. Практика этой деятельности свидетельствует, что возникновение многих источников компонентов банковских рисков оказывается следствием недостаточной компетентности тех, кто в кредитной организации принимает решения (или, что, пожалуй, чаще соответствует действительности, поддерживает предложения) о внедрении ДБО (это, бывает, осознается слишком поздно).

Можно с уверенностью предположить, что в подавляющем большинстве случаев никаких сомнений относительно упомянутой в формулировке первого принципа «роли» в деятельности кредитной организации члены ее совета директоров не испытывают. Однако в части, касающейся вынесения суждений об этой деятельности, в современных условиях требуются специальная квалификация и известная подготовка в предметной области ДБО, если кредитная организация внедрила какую-либо ТЭБ. Дело в том, что в число вопросов, по которым необходимо принимать руководящие решения, входит определение нужных этой организации характеристик всех компонентов ИКБД, с которыми неизбежно придется иметь дело. Это относится и к специалистам кредитной организации, и к ее руководителям, потому что решения предлагаются обычно указанными специалистами, но оценивать и утверждать (или отклонять) их должны руководители. Главное, о чем при этом следует позаботиться — это об удержании уровней рассматривавшихся выше компонентов банковских рисков в допустимых пределах, причем заранее понимая, что действие новых компонентов (возникновения источников) этих рисков может оказаться априори неизвестным, непредсказуемым даже специалистами в области ИТ и обеспечения информационной безопасности.

Зарубежными органами банковского регулирования и надзора в последние годы регулярно публикуются все новые материалы, содержащие полезные рекомендации для органов управления кредитных организаций, применяющих новые, а иногда и довольно «экзотические» технологии ДБО. При этом предполагается, что детальная интерпретация в таких публикациях постулатов, гарантирующих «безрисковую» деятельность, остается прерогативой самих кредитных организаций, на руководство которых соответствующие документы и ориентированы, и, скорее, даже нецелесообразна. Вместе с тем практика изучения применения технологий электронного банкинга свидетельствует о том, что это — ошибочная позиция, из-за чего в том числе своего рода «плата за страх» в условиях применения таких технологий может оказаться слишком высокой (особенно когда клиенты кредитных организаций теряют суммы от сотен тысяч до десятков миллионов рублей). Кстати говоря, надо учитывать и негативное влияние традиционного наследия, о котором уже упоминалось: при внедрении ТЭБ стык гуманитарных (финансовых, экономических, юридических) и технических дисциплин (информатика, связь, информационная безопасность) не так легко сделать «безшовным».

Все упоминавшиеся ранее зоны концентрации источников банковских рисков и зоны ответственности кредитной организации в оптимальном варианте должны изучаться и анализироваться ее руководством (коль скоро именно по его решению клиентам этой организации предлагается ДБО), причем проводя четкие различия между этими зонами в ИКБД. Качество учета влияния этих зон и их характеристик[101] на деятельность и состояние кредитной организации зависит именно от осознания содержания ответственности и комбинации квалификаций ее директоров и высшего руководства, поэтому описываемые требования к этим лицам могут показаться завышенными, однако это — тоже неизбежная плата за риск.

Стратегический риск является первым из тех банковских рисков, которые реализуются вследствие недостаточной компетентности ответственных лиц, которые принимают решения относительно внедрения ТЭБ. Особенности же реализации таких решений могут оказаться завуалированными, скрытыми последствиями реализации типичных банковских рисков. Очевидно, что, принимая решение, скажем, о развертывании сети банкоматов, высшее руководство кредитной организации обязано предусмотреть все возможные первопричины и варианты реализации компонентов банковских рисков: нарушения работы АПО (самих банкоматов, БАС кредитной организации или процессингового центра), аварии линий связи, несвоевременное денежное подкрепление, отпуска ответственных лиц, аварии у провайдеров каналов связи, банкоматные мошенничества (включая появление новых программ-вирусов, с помощью которых совершаются хищения с карточных счетов клиентов) и многое другое вплоть до возможных «отказов в обслуживании» во время сильных морозов. Можно отметить, что эти «автоматические кассовые машины»[102] — технологически и технически не самый сложный вариант ДБО, хотя сам по себе далеко не простой (учитывая варианты аренды банкоматных сетей и управления ими через Интернет). В их АПО, кстати, основной акцент в последнее время делается кредитными организациями на развитии многофункционального банковского обслуживания, интегрирующего различные информационные технологии в интересах повышения эффективности и снижения рисков банковской деятельности. Совмещение кассовых, платежных, валютообменных, транзакционных и других операций в устройствах такого типа требует существенных изменений в подходе к выявлению, анализу, мониторингу компонентов типичных банковских рисков и управлению ими, которые должны находить отражение во внутрибанковском процессе УБР (в оптимальном варианте его организации).

В завершение анализа первого принципа корпоративного управления необходимо упомянуть о распределении обязанностей и ответственности в кредитной организации в части управления и в части контроля ТЭБ. Назначать на ответственные должности менеджеров высшего и среднего звена, равно как и на ключевые исполнительские, целесообразно сотрудников, обладающих знаниями и квалификацией, необходимыми для исполнения своих, зачастую сложных (поскольку сами ТЭБ такие) обязанностей. Понятно, что тот, кто осуществляет такие назначения, сам должен обладать квалификацией, достаточной для того, чтобы оценить квалификацию назначаемых сотрудников, причем до того, как они приступят к работе, а не после того, когда эта квалификация, вернее, ее отсутствие, проявит себя негативным образом. Соответственно и ролевые функции в части подбора персонала логично распределять на уровне высшего руководства с учетом профессиональных качеств каждого из его членов. Скорее, впрочем, наоборот: современное банковское дело — занятие весьма непростое и организационно, и технологически, и технически. Случайные люди вряд ли смогут заниматься им эффективно, имея в виду положительный эффект для клиентов кредитной организации, для нее самой и для контролирующих ее деятельность органов.

Принцип 2. Совету директоров следует утверждать и контролировать стратегические цели банка и корпоративные ценности, которые пропагандируются по всей банковской организации.

В комментариях к этому принципу акцент делается на том, что «совету директоров следует обеспечить внедрение высшим руководством стратегической политики и процедур, разработанных в интересах содействия профессионализму деятельности и целостности. Этому совету следует также гарантировать реализацию высшим руководством такой политики, которая запрещала бы (или должным образом ограничивала) деятельность, отношения или ситуации, которые могут ухудшить качество корпоративного управления». Упоминание о профессионализме более чем уместно в условиях применения ТЭБ кредитной организацией, но что это может или должно означать конкретно и что именно может негативно повлиять на качество корпоративного управления в этих условиях?! На такие вопросы не так легко найти ответы, как это может показаться при принятии решения о внедрении СЭБ.

Содержание понятия «корпоративные ценности» претерпевает расширение, тем более что негативное действие «человеческого фактора» никто не отменял, а в условиях применения ТЭБ это действие может оказаться завуалировано распределенными компьютерными системами и телекоммуникационными сетями, лежащими в основе реализации любой ТЭБ. Соответственно высшему руководству кредитной организации, вероятно, придется задумываться о том, насколько хорошо сможет оно контролировать приверженность этим ценностям специалистов в области компьютерных технологий (особенно уровня администраторов). Ситуация усугубляется тем, что деятельность таких специалистов в киберпространстве весьма далека от транспарентности, а отношение к таким сотрудникам нередко остается прежним, как к людям, говорящим на «птичьем языке». Тем самым, между прочим, демонстрируется «корпоративное непонимание» степени и серьезности зависимости кредитной организации и ее клиентов от компьютерных технологий.

Следует подчеркнуть, что значительная часть мероприятий, проводимых в обеспечение сохранения «корпоративных ценностей», обычно имеет запретительный или ограничительный характер. Поэтому руководству кредитных организаций приходится в новых условиях либо самому разрабатывать такие меры (а их неизбежно становится все больше и они становятся все «тоньше»), либо обращаться к специалистам, имеющим необходимую профессиональную подготовку. Если говорить о том, что в большинстве случаев причины «недостижения» стратегических целей связываются с некомпетентностью, халатностью и злым умыслом инсайдеров (персонала) кредитных организаций[103], то акцент делается на обеспечении гарантий информационной безопасности. Вследствие этого налагаются запреты на использование в кредитной организации мобильных носителей информации (флэш-карт, компакт-дисков, выносных накопителей на жестких дисках), доступ в Интернет в целом или отдельные его зоны, пользование устройствами мобильной компьютерной связи, подключение модемов, применение технологии виртуальных частных сетей (VPN) и т. п.

Это лишь еще один пример, а в общем случае если требуется обеспечить реализацию высшим руководством кредитной организации такой политики, которая должным образом ограничивала бы деятельность, отношения или принятие решений, которые могли бы снизить качество корпоративного управления, то необходим анализ конкретной формирующейся ситуации. Целесообразно понять, что это означает в конкретной кредитной организации, внедряющей определенную (и, возможно, заранее не очень хорошо изученную) ТЭБ и получающей вместе с ним некий ИКБД, простирающийся, возможно, до ее бэк-офиса. А самое главное — желательно отчетливо представлять себе, что именно может негативно повлиять на качество корпоративного управления в складывающихся условиях.

Принцип 3. Совету директоров следует устанавливать в организации четкую подчиненность и подотчетность и обеспечивать ее соблюдение.

В этой части постулируется, с одной стороны, то, что «эффективно действующие советы директоров четко определяют полномочия и распределение основной ответственности для себя, равно как и для высшего менеджмента. Они также понимают, что неопределенная подотчетность или же неясность, множественность иерархий ответственности может усугублять проблему из-за несвоевременных или ослабленных реакций». Очевидно, что для реализации первого положения члены совета директоров должны иметь отчетливое представление и об ответственности, и о полномочиях, которые касаются технологий, реализуемых в виртуальном пространстве. С другой стороны, постулируется, что «высшее руководство несет ответственность за делегирование полномочий персоналу и создание структуры менеджмента, которая способствует подотчетности, не теряя осознания обязательств менеджмента в отношении наблюдения за реализацией такой делегированной ответственности и его исключительной ответственности перед советом директоров за функционирование банка». Опять-таки, тот, кто делегирует ответственность (к тому же обремененную, по необходимости, изрядной квалификацией), должен, вероятно, иметь представление о тех полномочиях, которые он не формально (и документально зафиксировано!), а фактически передает, тем более что они реализуются хотя и в физическом, но отнюдь не в реальном, воспринимаемом органами чувств пространстве, и могут к тому же затрагивать разные уровни внутрибанковской иерархии и контроля.

Как показывает практика, внедрение новых банковских информационных технологий, таких как технологии электронного банкинга, может внести некий «сумбур» в налаженную банковскую жизнь. Как правило, специалистов, которые профессионально разбираются в этих технологиях, не хватает, что во многом объясняется попаданием в нашу страну таких технологий в основном из-за рубежа. Наблюдаются также активные попытки зарубежных компаний-разработчиков банковского программного обеспечения внедриться на российский рынок. Применение любой ТЭБ неизбежно связано с приобретением новой или совершенствованием имеющейся квалификации, вследствие чего задача распределения в кредитной организации ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности может оказаться достаточно непростой. Решать же ее, кроме высшего руководства этой организации, зачастую некому, если только не найдутся в ней энтузиасты, которые спасают ситуацию за счет личной инициативы. Однако, учитывая сложность ТЭБ, полагаться на энтузиазм и специалистов, которые, как нередко приходится слышать, «все знают, вот пусть и делают» — без точных указаний и бесконтрольно — дело рискованное, а наносимый в результате такой халатности ущерб зависит от того, в отношении каких именно массивов данных «сработает» человеческий фактор.

При недостатке понимания того, как функционируют внедряемые технологии и соответствующее АЛО СЭБ, многие компоненты рисков связаны с ошибками в упомянутом выше распределении. Как правило, недостатки в корпоративном управлении проявляются с начала внедрения ТЭБ. В оптимальном варианте руководство кредитной организации инициирует процесс разработки комплекта документарного обеспечения внедряемой ТЭБ (а это свидетельствует, что в его составе имеются лица, знающие о необходимости этого процесса и представляющие его содержание). К сожалению, до настоящего времени многое в области информационных технологий все еще делается, как говорят, «на коленях» и «с колес», что всегда приводит к реализации компонентов банковских рисков и соответственно финансовым потерям, причем о причинах этих потерь нередко даже не догадываются как раз те, кто должен был бы эти потери предотвратить.

Поскольку ТЭБ реализуются в виртуальном пространстве, еще на начальном этапе внедрения следует задуматься об их управляемости и контролируемости. Здесь распределение подчиненности и подотчетности целесообразно устанавливать таким образом, чтобы деятельность в этом пространстве ни в коем случае не зависела полностью от лиц, обладающих уникальными полномочиями в кредитной организации. Речь идет о повсеместно встречаемой чрезмерной концентрации полномочий в руках отдельных должностных лиц, чаще всего это администраторы различного назначения: системные, сетевые, информационной безопасности, баз данных и т. п. Членам высшего менеджмента кредитной организации целесообразно отчетливо понимать, что специалистами этого круга не так просто руководить, как, например, операционистами, деятельность которых ограничена функционалом интерфейса, с помощью которого они управляют банковскими платежными и другими технологическими процессами. Деятельность таких специалистов еще сложнее контролировать, особенно когда дело касается банковских информационных технологических процессов. Членам совета директоров целесообразно иметь отчетливое представление о том, возможно ли осуществление каких-либо несанкционированных действий с помощью ТЭБ (к примеру, в оказавшихся неподконтрольными информационных сечениях автоматизированных систем), а также о том, чем именно гарантируются полнота и целостность информации, получаемой для оценки финансовых результатов деятельности кредитной организации и в последующем служащей для принятия руководящих решений.

Делегирование ответственности в виртуальном пространстве, реализация которой требует незаурядной квалификации, стало в современном компьютерном мире серьезной проблемой двойственного характера, поскольку необходимо не только определить и распределить права и полномочия, но и обеспечить эффективный контроль за их использованием. ТЭБ принципиально осложняют ситуацию тем, что указанное распределение само оказывается распределенным: руководству кредитной организации целесообразно четко осознавать (и фиксировать это осознание во внутрибанковских документах), какие именно полномочия она «выпускает из рук», полагаясь на клиентов и провайдеров, а также какие средства компенсации утраты полного контроля за их деятельностью (хеджирования сопутствующих компонентов рисков) имеются в ее распоряжении.

Принцип 4. Совету директоров следует обеспечивать наличие должного наблюдения со стороны высшего руководства, согласующегося с политикой совета.

В комментарии к этому принципу отмечается, что «членам совета директоров и высшего руководства, отвечающим за повседневное наблюдение над менеджментом в банке, следует обладать должной квалификацией, которая обеспечит управление назначенной им деловой активностью равно как и требуемый контроль над ключевыми исполнителями по данному направлению». Это положение имеет принципиальное значение при работе в высокотехнологичной среде, поскольку речь в этом случае идет о контроле над работой профессионалов в области компьютерных технологий, как правило, весьма высокой квалификации. Понятно, что для роста квалификации всегда существуют какие-то пределы, так что в ситуациях применения распределенных компьютерных систем необходимо известное усложнение структуры самого контроля как плата за невозможность «объять необъятное» и обеспечение совокупной квалификации.

В этом принципе заложены очень важные идеи преемственности и обеспечения ее на разных уровнях иерархии кредитной организации. В то же время упоминавшийся ранее разрыв между традиционным восприятием содержания банковской деятельности и новыми способами и условиями ее осуществления может и здесь сыграть негативную роль, приводя к нарушению непрерывности и целостности корпоративного управления. Проблемы заключаются в том, что, во-первых, в условиях ТЭБ не так просто обеспечить это «должное наблюдение», о чем уже упоминалось выше, и, во-вторых, не так просто гарантировать адекватное понимание особенностей технологий и систем ДБО на разных уровнях иерархии в кредитной организации. Простейшим примером в этом случае может служить содержание должностных инструкций, которое варьируется на разных уровнях менеджмента и нередко радикально отличается от исполнительского уровня.

Опыт практического изучения этого, казалось бы достаточно «узкого» вопроса свидетельствует, что понимание того, каким образом можно обеспечить должное наблюдение со стороны высшего руководства в условиях применения ТЭБ, не является полным. Выражается это, в частности, в том, что должностные инструкции исполнительского уровня (например, специалистов, старших, ведущих, иногда главных специалистов), как правило, требуют знания настроек и функционирования совершенно конкретных, принятых или принимаемых «на вооружение» кредитной организацией программно-информационных комплексов (или, как иногда говорят, «программных продуктов»). Это могут быть комплексы самого разного назначения: операционного дня, ДБО, различных серверов (баз данных и других), брандмауэров, маршрутизаторов, телекоммуникационные и т. п. Также могут предъявляться требования знания определенных языков программирования, инструментальной среды систем управления базами данных и др. Таким образом, речь идет о достаточно узкой и во многом заранее известной квалификации и глубоких, детальных знаниях операционной среды банковской деятельности. В то же время в должностных инструкциях менеджеров разных уровней подобные положения встречаются нечасто, причем относится это к руководителям департаментов, управлений, отделов и их заместителям. Очевидно наличие почвы для нарушения целостности управления: на каких-то уровнях неизбежны разрывы в понимании того, что именно происходит в компьютерных системах, как этими процедурами управлять и, что, возможно, даже более важно, как контролировать происходящее.

Практически любой контроль в компьютерных системах обеспечивается за счет формирования и ведения специальных файлов: системных журналов (так называемых «логов») и аудиторских журналов («трейлов»). Специалисты очень хорошо понимают ценность таких файлов, особенно когда возникает необходимость в системных «откатах» и восстановлении данных и (или) процессинга из-за сбоев или ошибок, в расследовании инцидентов (в том числе информационной безопасности), возникновении ситуаций отказа от операции и т. п. Однако внедрить всю «линейку» подчиненности и подотчетности с тем, чтобы руководство кредитной организации могло получить как можно более полную управленческую информацию в любой момент времени, организовать соответствующие мероприятия в иерархии подчиненности и проконтролировать их выполнение с доведением до конкретных массивов банковских и клиентских данных, — это уже искусство корпоративного управления (к тому же если происходит все это в многофилиальной системе, в которой филиалы кредитной организации также осуществляют ДБО).

Принцип 5. Совету директоров и высшему руководству следует эффективно использовать результаты работы, выполняемой службой внутреннего аудита, внешними аудиторами и службой внутреннего контроля.

В связи с этим принципом подчеркивается, что «высшему руководству следует осознавать значимость эффективного внешнего и внутреннего аудита, а также контроля в обеспечении долгосрочной надежности банка». В этом отношении необходимо заметить, что, во-первых, квалификация аудиторов должна позволять им выполнять свою работу в высокотехнологичной среде, а во-вторых, учитывая не столь долгую практику аудиторской деятельности в России вообще, для выбора «подходящей» в конкретной ситуации аудиторской компании потребуется, вероятно, провести достаточно объемный анализ этого рынка услуг в поисках специалистов нужной квалификации. Понятно, что это «по силам» не каждой кредитной организации, так как для оценки уровня квалификации необходимо располагать сопоставимой суммой знаний — если не большей, то и не меньшей.

Вопросы осуществления внутреннего и внешнего аудита в связи с применением кредитными организациями ТЭБ до настоящего времени не прорабатывались ни в банковском сообществе, ни законодателями. Существуют отдельные рекомендации, разработанные БКБН и другими зарубежными органами банковского регулирования и надзора, но считать их адекватными с точки зрения осознания значимости этой проблематики пока еще преждевременно, хотя ряд российских кредитных организаций и дочерних организаций зарубежных коммерческих банков имеют опыт привлечения внешних аудиторов информационных технологий, но делают это «по личной инициативе» и без тщательной проработки программ таких проверок (на основе установленной методологии).

В последнее время все большую актуальность вместе с внедрением технологий электронного банкинга и связанных с их реализацией банковских автоматизированных систем приобретает также проблематика осуществления внутреннего контроля в кредитных организациях, использующих такие технологии[104]. Руководству кредитных организаций, внедряющих ТЭБ, целесообразно учитывать тот факт, что дело с этими технологиями «зашло далеко» и обратной дороги, скорее всего, нет. Поэтому настал момент «остановиться и оглянуться», оценивая состояние внутреннего контроля в первую очередь с позиций качества управления рисками (подробно эта тема будет рассмотрена в следующем разделе).

Принцип 6. Совету директоров следует обеспечивать соответствие политики и практики выплаты вознаграждения корпоративной культуре банка, долгосрочным ориентирам (целям) и стратегии, а также условиям контроля.

Этот принцип касается рассматриваемой тематики, пожалуй, только в части оплаты труда наиболее квалифицированных специалистов, непосредственно работающих с системами электронного банкинга: администраторов различных направлений, но он является весьма важным. В комментариях БКБН к этому принципу сказано, что, во-первых, «отсутствие связи между стимулирующим вознаграждением для членов совета директоров и высшего руководства и долгосрочной деловой стратегией может привести к действиям, противоречащим интересам банка и его акционеров…» и, во-вторых, что «совету директоров или специально назначенному комитету следует определить и установить вознаграждения для членов совета директоров и высшего руководства, соответствующие принятой политике компенсации, а также гарантировать, что такое вознаграждение соответствует культуре банка, долгосрочным целям и стратегии, условиям контроля». Приведенные комментарии вряд ли можно считать полными, и неполнота эта обусловлена, по-видимому, некоторой «удаленностью» специалистов БКБН от реальности.

В этом принципе логично было бы упомянуть тех специалистов, от которых реально зависит эффективное функционирование кредитной организации, а именно тех, кто управляет ее БАС и системами ДБО. Практически это означает целесообразность адекватной оплаты квалификации, т. е. создание условий «удержания» наиболее квалифицированных специалистов, непосредственно работающих с ТЭБ. Это относится в первую очередь к различным администраторам БАС и компонентов распределенных компьютерных систем, но не только к ним. Не секрет, что такие специалисты, безусловно, считают себя «самыми умными» (и иногда реально близки к этому состоянию), вследствие чего они нередко приходят к выводу о явно недостаточной оценке своего труда руководством кредитной организации. Это свойственно различным специалистам в области ИТ и их руководителям в структуре иерархии кредитных организаций, и может привести к проблемам.

В настоящее время уже отмечаются заметные миграционные процессы в банковском секторе, связанные не только с индивидуальными, но и с групповыми переходами «команд» специалистов ИТ из одной кредитной организации в другую. Вместе с собой эти люди уносят большие объемы знаний, причем не только специальных, но и о БАС и СЭБ той кредитной организации, которую покидают. Во многих публикациях в последнее время как в нашей стране, так и за рубежом обращается внимание на то, что при неблагоприятном стечении личных обстоятельств специалисты наиболее высокой квалификации способны нанести и наиболее серьезный ущерб интересам как самой кредитной организации, так и ее клиентов. Тот факт, что в рассматриваемом принципе БКБН речь идет только о членах совета директоров и высшего менеджмента кредитной организации, похоже, свидетельствует о том, что и в этом комитете не до конца осознают степень зависимости современной банковской деятельности от информационных технологий и реализующих эти технологии автоматизированных систем.

Принцип 7. Управление банком должно быть прозрачным.

Этот принцип касается в основном устранения конфликтов интересов и к рассматриваемой тематике не имеет прямого отношения. Тем не менее надо кратко отметить, что в одном из пунктов комментариев к этому принципу упоминается, что «желательно своевременное и точное раскрытие на общедоступных web-сайтах кредитной организации» сведений о ее структуре, правах собственности и внутрибанковской политике (просто в качестве дополнения к установленным формам публикуемой банковской отчетности сказанное не следует воспринимать как исчерпывающий перечень). При этом отмечалось, что раскрываемую информацию целесообразно соотносить с размером, сложностью, структурой собственности, экономической значимостью и профилем риска банка. Можно сделать замечания к этим положениям в том плане, что получение информации через Интернет в современном мире становится отнюдь не дополнительным, а одним из основных способов информирования для многих представителей общества. Поэтому, во-первых, значимость представительства в Интернете и его информационного контента трудно переоценить, а во-вторых, учитывая такую значимость, логично предположить, что вопросы организации, ведения и сопровождения задействуемых кредитной организацией web-сайтов, равно как и соответствующего контроля (включая определение содержания отношений с компаниями, которые могут отвечать за функционирование представительства кредитной организации в мировой Сети), также попадают в сферу интересов совета директоров и высшего руководства кредитных организаций.

Принцип 8. Совету директоров и высшему руководству следует понимать операционную структуру банка, включая и то, под какие юрисдикции подпадает банк в своей деятельности, или через посредство структур, препятствующих прозрачности (т. е. должен реализоваться принцип «знай свою структуру»).

Этот принцип — последний по порядку, но один из первых по значимости, впрочем, его присутствие вызывает некоторое удивление из-за своей самоочевидности: если совет директоров и высшее руководство кредитной организации не понимают ее операционной структуры, то вряд ли их можно считать реальными руководителями, да и продлиться такое «руководство» может недолго. Другое дело, что при применении ТЭБ эта структура может усложниться как за счет применения распределенных компьютерных систем, локальных и зональных вычислительных сетей, так и в случаях интернет- и мобильного банкинга — глобальных информационных сетей. Представить себе все информационные контуры банковской деятельности, которые возникают при множественном применении ТЭБ, а следовательно, и уязвимости кредитной организации и ее клиентов с точки зрения смещения профиля рисков может оказаться весьма затруднительно.

В отношении ИКБД можно акцентировать ряд вопросов, прежде всего возможное содержание работы кредитной организации через те или иные структуры, которые могут снижать прозрачность его деятельности. В приложении к ТЭБ это, как правило, различные провайдеры, которые осуществляют те или иные виды обслуживания (как, например, широко известная система Factura.ru) или процессинг и хранение банковских данных. Кроме того, во многих случаях ДБО кредитная организация неизбежно и с клиентами взаимодействует через провайдеров. То же самое относится к ситуациям, когда такая организация или ее подразделения работают через «другие юрисдикции», — в случае трансграничных операций и передачи банковских и клиентских данных. Во всех этих случаях руководству кредитной организации, как указывается в материалах БКБН, следует адаптировать функции, выполняемые службой внутреннего контроля, и управление рисками с учетом внешних факторов такого рода. Сюда же уместно добавить и некоторые аспекты осуществления финансового мониторинга, возникающие из-за известной анонимности ДБО (двусторонней). Поэтому к наращиванию «технологической базы» банковской деятельности целесообразно относиться с известной осторожностью, не внедряя новые технологии до тех пор, пока не будет достигнуто полное понимание их специфики.

Несмотря на объемность проведенного рассмотрения, на взгляд автора, к восьми рассмотренным принципам можно было бы обоснованно добавить еще два немаловажных, которые могут иметь прямое отношение к корпоративному управлению в условиях применения ТЭБ, а именно:

1) совету директоров и высшему руководству следует сознавать повышение значимости обеспечения информационной безопасности внутрибанковских процессов, процедур и массивов данных, обрабатываемых и хранимых кредитной организацией, в условиях применения технологий электронного банкинга;

2) совету директоров и высшему руководству следует четко видеть зависимость кредитной организации от сторонних организаций, не имеющих прямого отношения к банковской деятельности, но обеспечивающих ее осуществление (т. е. от провайдеров и вендоров).

На самом деле обеим этим проблемам БКБН уделял известное внимание в базовом материале, посвященном принципам управления рисками при электронном банкинге[105], и поскольку тогда значимость их подчеркивалась, несколько странно отсутствие упоминания о них в анализируемом документе. Внедрение новых технологий должно было бы приводить как к пересмотру политики обеспечения информационной безопасности, так и к дополнительному анализу ситуации, например, в плане принятия решения о необходимости разработки частных политик безопасности для каждой из систем ДБО. Кстати, что касается обеспечения информационной безопасности, то еще в одном из более ранних документов 1998 г. БКБН говорилось о необходимости распространения внутреннего контроля на его оценку в целом, однако в этой публикации этот вопрос не только не акцентирован, но и вообще опущен. Тем не менее он является принципиально важным, так как от качества обеспечения информационной безопасности в современных условиях (применения ТЭБ) может непосредственно зависеть «жизнеспособность» кредитной организации.

Принцип же, касающийся отношений с провайдерами, предполагает осознание зависимости кредитной организации от компаний, которые обеспечивают передачу, обработку, хранение массивов банковских данных или реализуют другие функции, переданные на аутсорсинг. Основное внимание здесь логично уделять при необходимости вариантам резервирования и оперативной смены провайдера, а также в предельном случае оперативного возврата выполнения переданных на аутсорсинг функций на свои «мощности» без прерывания операционной деятельности и выполнения своих обязательств перед клиентами. Последнее требует организации соответствующего планирования и тестирования планов такого рода на их реализуемость

Адаптация корпоративного управления к условиям применения ТЭБ может показаться или оказаться достаточно трудоемким и аналитически сложным процессом. На самом деле ничего сверхсложного в создании пруденциальных условий применения любых банковских информационных технологий нет. Достаточно грамотно решать административные, организационные, технологические и технические вопросы в рамках полноценного и адекватного масштабам и сложности банковской деятельности корпоративного процесса. Тот факт, что вопросы корпоративного управления вышли сегодня на первый план в проблематике гарантировано эффективной банковской деятельности, свидетельствует и о том, что накопилась критическая масса проблем, попадающих в данную категорию, и о том, что необходим качественный скачок в организации внутрибанковских процессов и процедур для их решении, и о том, что невнимание к проблемам такого рода может оказаться серьезнейшим фактором риска для современных высокотехнологичных кредитных организаций.

Глава 5

Модернизация основных внутрибанковских процессов, связанных с электронным банкингом

Главное — не бояться, что ничего не выйдет.

П. Коэльо. «Алхимик»

Процессный подход позволяет не только вычленить подлежащие модернизации внутрибанковские процессы, но и обеспечить согласование между самими процессами и отдельными составляющими их процедурами (чего в противном случае добиться нередко не удается). На основе понятия «жизненный цикл» к новым способам и условиям осуществления банковской деятельности целесообразно адаптировать как минимум следующие основные внутрибанковские процессы:

— документарного обеспечения;

— управления рисками банковской деятельности;

— применения ИТ (информатизации или автоматизации);

— обеспечения информационной безопасности (ОИБ);

— внутреннего контроля (ВК);

— финансового мониторинга (ФМ);

— юридического (правового) обеспечения

— обслуживания клиентов (включая претензионную работу),

а также внедрить новый процесс и реализующие его процедуры, а именно: взаимоотношения с провайдерами.

В зависимости от специфики структуры, характера, масштаба деятельности кредитной организации этот перечень может быть дополнен. Ответственность за его определение и уточнение с течением времени и внедрением новых банковских информационных технологий лежит на совете директоров и высшем руководстве кредитной организации, переходящей к ДБО клиентов.

В современных условиях банковской деятельности своевременную (упреждающую) и адекватную адаптацию внутрибанковских процессов кредитной организации к изменениям в способах осуществления этой деятельности, вносимым технологиями электронного банкинга, целесообразно рассматривать как главное условие проактивного и эффективного парирования неконтролируемого смещения ее профиля риска. При этом важно подчеркнуть логику осуществления адаптации: после принятия решения о внедрении той или иной ТЭБ процессный подход вначале применяется к УБР, а затем, после определения требуемых для него новых или модифицированных процедур такого управления, — к остальным внутрибанковским процессам. Завершающим этапом следует считать проведение контрольных процедур по завершении адаптационных мероприятий на соответствие требованиям «усовершенствованного» таким образом УБР. Как правило, ЖЦ любого процесса в организации строится по четырехэтапной схеме, определяемой типовой последовательностью вида:

«создание —> внедрение —> контроль —> совершенствование».

На первом этапе определяются стратегические цели, которые предполагается достигнуть с помощью этого процесса, описываются его модель и структура, состав его характеристик и показателей, а также требуемое обеспечение. На втором этапе создаются условия для реализации процесса, информационно-технологическая инфраструктура, банковские автоматизированные системы (возможно, интегрируемые с уже действующими), выбираются провайдеры необходимых услуг и поставщики технического оборудования, распределяются ответственность и обязанности, проводится обучение персонала. На третьем этапе организуется сбор оперативной контрольной информации о выполнении процесса, набор статистики по показателям и характеристикам процесса и комплексный их анализ. На четвертом этапе проводится сопоставление существующего процесса с позиции «как есть» с его первоначальной моделью с тем, «как должно быть», оцениваются результаты анализа характеристик и показателей, после чего может быть принято решение о целесообразности модификации или модернизации процесса либо о его замене. То же самое происходит с формированием поддерживающих процесс условий и обеспечением его реализации, что имеет прямое отношение к применению технологий электронного банкинга.

Необходимо отметить, что, по мнению автора, любая «прогрессирующая» организация, независимо от того, кредитная она или нет, скорее всего придет к выводу о целесообразности рассмотрения процессов «разных уровней». Речь идет о том, что организация любых внутрибанковских процессов также представляет собой процесс, но более высокого уровня, своего рода «мета-процесс». А объясняется это как раз тем, что внедрение новых банковских технологий или технологий банковского обслуживания неизбежно приводит к потребности внесения изменений в уже существующие, налаженные и отлаженные внутрибанковские процессы. Точно так же, как и в рассмотренных выше направлениях деятельности, руководству кредитной организации целесообразно проработать содержание мета-процесса таким образом, чтобы он «срабатывал» одинаково эффективно в любом случае модернизации уже используемой ТЭБ или внедрения новой. Последний вариант является, естественно, более сложным, поскольку требует быстрой мобилизации достаточно больших объемов специальных знаний, наличие которых априори не гарантировано. Как видно из проведенного выше рассмотрения, речь идет о сходных совокупностях и последовательностях действий, выполняемых при любой модернизации — от внедрения в кредитной организации новой ТЭБ до модернизации (или замены) банковского аппаратно-программного обеспечения. Эффективность таких процедур будет гарантирована только в том случае, если персонал этой организации в сходных ситуациях будет выполнять заранее известные и «отработанные» действия.

5.1. Адаптация внутрибанковского документарного обеспечения

Приведение содержания внутрибанковских документов в соответствие с новыми условиям функционирования кредитной организации и особенностями ДБО до настоящего времени представляет серьезную проблему обеспечения надежной банковской деятельности высокотехнологичных кредитных организаций прежде всего потому, что руководство многих таких организаций «не чувствует» необходимости в этом, а также из-за нехватки специалистов, способных такую адаптацию осуществить. Эта проблема типична для крупных кредитных организаций, которые имеют развитые ИТ и документарное обеспечение банковской деятельности, которое описывает в том числе как внутрибанковские процессы, так и связи между реализующими их структурными подразделениями. Содержание того и другого подлежит модернизации при внедрении первой же ТЭБ, а затем и других технологий такого рода. В то же время во многих документах БКБН, в которых рассматриваются меры по обеспечению этой надежности, акцент всегда делается на том, что при любых инновациях в первую очередь следует обеспечивать указанное соответствие, поскольку от этого прямо зависят качество работы персонала кредитной организации, использование ее автоматизированных систем и эффективность деятельности в целом: и то, и другое, и третье целесообразно рассматривать с позиций своевременной и адекватной оптимизации (до того, как начнет сказываться влияние неучтенных источников компонентов банковских рисков, наличием которых определяется «степень адекватности» УБР и других внутрибанковских процессов).

Своевременная и отвечающая новым формируемым условиям адаптация документарного обеспечения кредитной организации важна по многим причинам, начиная с разработки и доведения до персонала информации о внедрении новых информационных технологий, продолжая его переподготовкой в связи с использованием новой БАС и (или) СЭБ и заканчивая изменениями структуры самой организации, ротацией персонала и текучкой кадров. Главное здесь — гарантировать соответствие должностных инструкций и руководств пользователя (оператора, операциониста, клиента) порядкам и правилам эксплуатации банковских автоматизированных систем, включая этапы их сопровождения и модернизации.

В этой главе не предлагается радикально новое содержание внутрибанковских документов типа положений о структурных подразделениях кредитной организации, но перечисляются основные новые и содержательно модернизируемые функции, описания и порядок выполнения которых логично включать в такие положения в связи с внедрением кредитной организацией новой ТЭБ. Такие изменения, в общем случае, уместно «увязывать» с каждым фактом внедрения той или иной новой технологии, связанной с банковской деятельностью, равно как и возникновением новых угроз надежности банковской деятельности и компонентов типичных банковских рисков (описываемых в документах по УБР).

Изменения внутрибанковских порядков и условий реализации процессов, как подчеркивает БКБН, должны инициироваться советом директоров и высшим менеджментом кредитной организации. Соответственно внутренние документы, которыми регламентируется функционирование органов управления и (или) исполнительных органов кредитной организации, должны содержать положения об этой их ролевой функции и указание условий, в которых эта функция должна инициироваться и выполняться. Внедрение ТЭБ — тот самый случай, который «запускает» очередной виток ЖЦ документарного обеспечения банковской деятельности. Состав изменяемых внутрибанковских документов определяется приведенным выше перечнем внутрибанковских процессов, который целесообразно точно указывать в описаниях указанных функций, чтобы даже при радикальных изменениях в «высшем эшелоне» руководства с выполнением таких функций не возникало неясностей (в отечественной банковской практике зачастую наблюдается обратное). Все мероприятия (в оптимальном варианте) инициируются, сопровождаются и контролируются высшим менеджментом кредитной организации (этапы <-> результаты) и доводятся до ее совета директоров и наблюдательного совета (рис. 5.1).

Кратко приведенную схему можно прокомментировать следующим образом. На этапе принятия базовых решений относительно внедрения ТЭБ следует (в соответствии с подходом БКБН) обеспечить:

— подготовку ТЭО и сопутствующих исходных данных на проект;

— коллегиальное принятие решений относительно варианта ТЭБ;

— сопоставление ДБО со стратегическими целями кредитной организации;

— определение необходимой ресурсной базы для реализации проекта СЭБ;

— подготовку проектной документации на СЭБ и ее интеграцию с БАС;

— согласование проекта с заинтересованными подразделениями;

— распределение ответственности и обязанностей в отношении проекта;

— привлечение к проекту персонала необходимой квалификации;

— полное документирование принятых решений по проекту;

— ознакомление с проектной документацией всех исполнителей.

Необходимо отметить, что принятые решения должны (опять-таки в оптимальном варианте организации работы) фиксироваться во всех иерархических «линейках» внутрибанковских документов: от распорядительных по характеру до должностных инструкций, предназначенных для ответственных исполнителей в кредитной организации (для этого целесообразно утвердить соответствующий распорядительный документ, который может и не быть акцентирован именно на ТЭБ и СЭБ, но «охватывать» и их применение). Только такой подход может в значительной степени гарантировать эффективность выполнения принятых решений и обеспечить требуемые функциональные характеристики автоматизированных систем (влияние человеческого фактора парируется эффективным «управленческим наблюдением» — в терминологии БКБН). При этом основные руководящие решения целесообразно обсуждать со специалистами, участвующими в перечисленных выше процессах, с точки зрения реализуемости и адекватности выполнения ими своих функций.

При таком подходе очередной виток ЖЦ документарного обеспечения банковской деятельности инициируется в кредитной организации еще до принятия решения о переходе к практической реализации проекта внедрения ТЭБ, поскольку без подготовительной работы не обойтись. При этом необходимо располагать перечнем входящих в его состав документов, первичное составление которого является наиболее трудоемким процессом, который несколько упрощается, если известен перечень подлежащих модернизации внутрибанковских процессов. Однако, какой бы сложной она ни казалась, удержать уровни банковских рисков в допустимых границах без ее решения крайне трудно (если вообще возможно), поскольку тогда негативное влияние человеческого фактора неизбежно.

Главное, что при этом целесообразно осознавать безусловное влияние любой ТЭБ на изменение состава и характера проявления многих источников компонентов банковских рисков, которые необходимо учитывать при организации УБР и для предотвращения которых существуют сами внутрибанковские процессы. Такое понимание в связи с переходом кредитной организации к ДБО на практике встречается редко. В то же время очевидно, что в отсутствие угроз надежности банковской деятельности, в безрисковой ситуации ни ОИБ, ни ФМ, ни ВК, ни другие внутрибанковские процессы не понадобились бы, тем не менее в банковской деятельности неизбежным и непростым связям между ними внимания уделяется незаслуженно мало (видимо потому, что реализующие их структурные подразделения кредитных организаций традиционно относят к так называемым «не зарабатывающим», не думая о том, что «зарабатывать» вообще позволяет именно эффективное парирование ими угроз, ассоциируемых с источниками тех самых компонентов).

Из сказанного можно сделать краткие выводы относительно изменений в характере и содержании упоминавшихся внутрибанковских процессов в кредитной организации, относящихся к осуществлению их регламентной циклической адаптации для приведения в соответствие тем условиям банковской деятельности, которые образуются с внедрением ТЭБ.

1. Для документарного обеспечения требуется составление документов более высокого, «общебанковского» уровня, в которых описывалась бы эта адаптация и указывались те внутрибанковские процессы и структурные подразделения кредитной организации, для которых разрабатывались бы новые редакции действующих документов. При этом на уровне мета-процесса предусматривается потенциальное возникновение необходимости в разработке новых, отсутствовавших до внедрения ТЭБ компонентов этого обеспечения.

2. Процесс УБР необходимо пересматривать ввиду появления большого числа не существовавших ранее источников компонентов банковских рисков, для воздействия на которые требуются новые процедуры, поддерживаемые рядом подразделений кредитной организации. На уровне мета-процесса формируются дополнительные схемы и механизмы взаимодействия между ними и предусматриваются дополнительные процедуры и функции в работе этих подразделений, ориентированные на подавление влияния таких источников.

3. Подразделение ИТ кредитной организации должно осваивать новую информационную технологию и СЭБ, реализующую внедряемую ТЭБ, обеспечивая то и другое в части аппаратно-программных средств (с учетом резервирования и ОИБ) и новой технической документации, включая руководства для клиентов ДБО и персонала подразделений организации. При этом учитывается необходимость повышения квалификации персонала, участие в составлении текстов договоров на ДБО и взаимодействия с провайдерами.

4. Служба ОИБ должна предусмотреть дополнительные меры по защите банковских автоматизированных систем кредитной организации и формированию ее периметра безопасности, включая внесение изменений в документы по ОИБ, внедрение соответствующего АЛО и разработку новых внутрибанковских документов, а также участие в составлении текстов договоров на ДБО и взаимодействии с провайдерами. Совместно со службами ИТ и ВК разрабатываются дополнительные программы и методики проверок ОИБ.

5. Служба ВК должна обеспечить наличие совокупной квалификации, необходимой для контроля использования и функционирования новой АС в кредитной организации, освоить внедряемую ТЭБ, разработать дополнительные программы и методики проверок, включая контроль процесса УБР, и формы отчетов для руководства, а совместно со службами ИТ и ОИБ — программы и методики проверок, контроля над провайдерами и SLA, планами действий на случай чрезвычайных обстоятельств, а также текстов договоров на ДБО.

6. Необходим учет особенностей электронного банкинга в документах кредитной организации, относящихся к ФМ или, как чаще говорят, «противодействию отмыванию денег и финансированию терроризма» (ПОД/ФТ)[106], равно как и модернизация самого этого процесса с участием служб ИТ, ВК, экономической безопасности и юридического обеспечения банковской деятельности. При этом предусматривается разработка новых процедур взаимодействия с клиентами в соответствии с требованиями Банка России.

7. Модернизация юридического обеспечения банковской деятельности кредитной организации должна охватывать приобретение новой квалификации, связанной с особенностями внедряемой ТЭБ, участие в составлении текстов договоров с клиентами ДБО и провайдерами, приведение внутрибанковского документарного обеспечения в соответствие с новыми условиями банковской деятельности, а комплайенс-контроля и претензионной работы — с применением СЭБ (совместно со службами ИТ, ОИБ и ВК/ФМ).

8. Необходимо совершенствование взаимодействия сервис-центра кредитной организации с клиентами ДБО за счет освоения его сотрудниками содержания и условий обеспечения нового направления банковской деятельности и формирования механизмов получения ими от других структурных подразделений информации о функционировании СЭБ в ее связи с БАС, а также дополнительного направления претензионной работы в связи с возможными спорными или конфликтными ситуациями, включая SLA с провайдерами.

9. Планы действий на случай чрезвычайных обстоятельств необходимо дополнить разделом, описывающим новые возможные угрозы надежности банковской деятельности, обусловленные форс-мажорными и другими ситуациями, которые могут привести к прерыванию ДБО, нарушению целостности, доступности или конфиденциальности банковских и клиентских данных, а также порядком восстановления функционирования СЭБ в ее связи с БАС кредитной организации, включая информирование клиентов об инцидентах.

10. Должно быть организовано взаимодействие с провайдерами с определением SIAh анализом в кредитной организации возникающих зависимостей, которые также следует описывать как в части управления сопутствующими компонентами банковских рисков, так и в части принятия мер по предупреждению их реализации и по резервированию аутсорсинга с учетом обеспечения возможностей перехода в чрезвычайных ситуациях на резервные средства и предоставления клиентам ДБО резервных вариантов взаимодействия.

Руководство успешной высокотехнологичной кредитной организации не может не осознавать значимости документарного обеспечения меняющейся, технологически и технически усложняющейся банковской деятельности. По существу, в ходе пересмотра содержания внутрибанковских документов и адаптации их к новым условиям руководством кредитной организации одновременно решаются задачи адаптации общебанковских процессов управления к применению новой банковской информационной технологии и контроля ее использования персоналом данной организации и ее клиентами, пользующимися ДБО. Важно подчеркнуть, кстати, что оценка уровней (качества) обоих этих процессов (менеджмента в целом) представителями контролирующих органов чаще и прежде всего основывается на результатах оценки степени соответствия документарного обеспечения кредитной организации содержанию, характеру и масштабам ее банковской деятельности. В интересах руководства такой организации для получения положительного «мотивированного заключения» относительно качества ее корпоративного управления (по результатам изучения организации ее деятельности) необходимо внимательно относиться к содержанию внутрибанковской документации, своевременно обновляя ее при внедрении очередной ТЭБ для ДБО.

5.2. Адаптация управления банковскими рисками

Внедрение ТЭБ оказывается, как показывает практика, весьма нетривиальной задачей, которая хотя и имеет известные решения, но во многом отличается от базовой задачи автоматизации банковской деятельности, давно уже ставшей типовой, и обусловливается это во многом возникновением новых разновидностей компонентов банковских рисков. Основные проблемы при этом связаны не с внедрением каких-либо принципиально новых банковских автоматизированных систем, а с тем, что применение систем ДБО переводит предоставление банковских услуг в виртуальное пространство, скрывающее друг от друга кредитные организации и их клиентов, существующее лишь в отдельные кванты времени в конкретных электронных устройствах и линиях связи ИКБД и открывающее стороны их информационного взаимодействия для угроз, реализуемых через это пространство новыми, неизвестными ранее способами. Специфика этого пространства заключается и в его многообразии: Интернет, «эфир» (радиосвязь), кабельные соединения, компьютерные системы провайдеров кредитных организаций, входящих в ИКБД, и т. п. Несмотря на то что идея ДБО является общей для всех технологий такого рода, пока еще нельзя считать, что кредитные организации и их клиенты полностью осознают специфику разных вариантов реализации ДБО с учетом сопутствующих факторов риска и парирования их влияния.

Внедрение кредитной организацией любой ТЭБ и «выход» ее в мировую Сеть приводят к возникновению факторов риска, связанных с базовыми принципами, лежащими в основе применения открытых систем. Поэтому становятся необходимы анализ и оценка компонентов банковских рисков, принимаемых кредитной организацией в связи с использованием ДБО, адекватные сложности и особенностям каждой из таких технологий. Прежде всего требуется осознание того, что потоки данных, передаваемых, получаемых и хранимых в процессе банковской деятельности, представляют собой сведения о тех или иных информационных активах кредитной организации и об инструкциях, описывающих управление этими активами. Это означает, что виды угроз надежности банковской деятельности и способы их реализации радикально отличаются от своих аналогов в традиционной банковской деятельности (например, способы мошенничеств и хищения денежных средств, являющихся главным информационным активом современной кредитной организации, с помощью способов НСД, разновидностей сетевых атак и т. п.).

Все угрозы, ассоциируемые с ИКБД, должны учитываться при планировании, реализации и обеспечении внутрибанковских процессов и процедур; при этом целесообразно определять, какие из них являются внешними, а какие — внутренними, и приводить их описания в документах, регламентирующих процесс УБР и, возможно, процесс ОИБ (дублирование предпочтительнее, но тогда необходимо контролировать идентичность описаний). В число таких угроз входят мошенничества, вредительство, ошибки, сбои, отказы, аварии, катастрофы, НСД (проникновения и взломы) и т. п.

При оптимальном (с точки зрения автора) подходе к внедрению ТЭБ процесс УБР в кредитной организации необходимо пересматривать первым из всех внутрибанковских процессов, подлежащих адаптации. К сожалению, в российском банковском секторе этому процессу исторически не принято уделять серьезного внимания не только в связи с внедрением новых информационных технологий, но и, как показывает многолетнее практическое изучение организации банковской деятельности, независимо от каких бы то ни было информационных технологий вообще. Это и становится причиной непредвиденной реализации возникающих компонентов типичных банковских рисков, превентивный анализ возможностей возникновения которых не проводился перед вводом СЭБ в эксплуатацию (а лучше еще при выборе ТЭБ).

В то же время, как было показано в главе 2, методологию определения и анализа указанных компонентов до настоящего времени нельзя считать установившейся ни за рубежом, ни в нашей стране, а следовательно, отечественные кредитные организации вынуждены самостоятельно разрабатывать методические материалы для осуществления УБР на основе анализа принятой ими организации и условий банковской деятельности, вида ДБО, формирующегося ИКБД, АПО СЭБ, взаимодействия структурных подразделений и т. п. Результатом такого анализа становится (точнее, должно стать) определение зон концентрации источников компонентов банковских рисков для кредитной организации и ее клиентов и зон ее ответственности, что служит дополнением состава ролевых функций ее вышеперечисленных служб.

Поскольку указанные зоны заведомо не совпадают (руководство и специалисты кредитной организации не могут принимать меры, парирующие все угрозы, ассоциируемые со всеми источниками компонентов банковских рисков), необходимо четко определить, какие конкретно действия следует предпринимать в отношении угроз, источники которых находятся в пределах «досягаемости», а в отношении каких стоит принять меры хеджирования (предполагая возможное «понесение ущерба»). Такую классификацию было бы предпочтительно отразить в документах, относящихся к определению содержания процесса УБР, в сопоставлении с конкретными факторами возникновения источников компонентов банковских рисков. С некоторой долей условности ориентация внутрибанковских процессов управления и контроля показана на рис. 5.2, где для ДБО в варианте интернет-банкинга кружками отмечены основные зоны концентрации этих источников, а стрелками, направленными от «руководства» кредитной организации, — воздействия на эти источники в рамках УБР, применения ИТ, ОИБ, ВК и пр. (приведенная схема не полна: на ней не показаны почтовые сервера, демилитаризованные зоны (DMZ) и другие возможные элементы, но она вполне достаточна для иллюстрации последующего изложения; схема формирования DMZ будет приведена в параграфе 5.4).

Для эффективного управления и достижения стратегической цели кредитной организацией, использующей технологии электронного банкинга, ее руководству необходима оценка уровней принимаемых ею банковских рисков, адекватная сложности и особенностям каждой из таких технологий, а также мониторинг этих уровней, которые должны удерживаться в допустимых для кредитной организации пределах, устанавливаемых ее внутренними документами, за счет процесса УБР, реализуемого посредством своевременных и адекватных действий ее высших исполнительных органов, менеджеров разных уровней и исполнителей по предотвращению возникновения и реализации источников компонентов типичных банковских рисков. Действия эти регламентируются внутрибанковскими документами (на основе того же анализа), которые описывают модифицированный процесс УБР и связанные с ним процедуры в составе других внутрибанковских процессов, адаптируемых к применению ТЭБ (каждой, включая перспективные) для ДБО.

При модернизации процесса УБР и адаптации его содержания необходимо помнить, что любая схема измерения и мониторинга риска хороша лишь настолько, насколько верна, надежна и устойчива заложенная в ней методология выявления, оценивания и анализа рисков, ассоциируемая с составом и вариантами ДБО. Поэтому и возникает весьма серьезная методологическая проблема, обусловленная тем, что разным архитектурам и составу банковских автоматизированных систем свойственны разные наборы факторов и подмножества источников компонентов банковских рисков. Следовательно, руководство кредитной организации сталкивается с необходимостью формирования некоего универсального подхода, позволяющего конкретизировать управление банковскими рисками по отдельным направлениям ее деятельности на основе единой (или обобщенной) риск-ориентированной методологии. Методологией такого рода, вернее, одним из наиболее «удачных» по состоянию на настоящее время ее компонентов (пока) является подход к определению содержания УБР, изложенный в работе БКБН, называемой «Принципы Управления Рисками для Электронного Банкинга»[107].

В этом достаточно обширном материале отмечено прежде всего, что: «Электронный банкинг… ведет к возникновению новых бизнес-моделей, в которых участвуют банки и небанковские организации…», при этом «…профиль риска у каждого банка свой и требует применения такого подхода к снижению влияния рисков, который соответствует масштабу операций в рамках электронного банкинга, реальному влиянию… рисков, а также готовности и способности конкретного учреждения управлять этими рисками».

В связи с этим в рассматриваемом материале определены так называемые «14 базовых принципов» для того, чтобы, как сказано, «помочь банкам распространить существующие в них процедуры наблюдения за рисками на деятельность в области электронного банкинга». Эти базовые принципы разделены на три тематические группы:

A. Наблюдение со стороны совета и руководства (принципы 1–3).

1. Эффективное наблюдение со стороны руководства за деятельностью в рамках электронного банкинга.

2. Организация полноценного процесса контроля безопасности.

3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

B. Средства обеспечения безопасности (принципы 4—10).

4. Аутентификация клиентов в операциях электронного банкинга.

5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках электронного банкинга.

6. Должные меры по обеспечению разделения обязанностей.

7. Необходимые средства авторизации в системах электронного банкинга, базах данных и прикладных программах.

8. Целостность данных в транзакциях электронного банкинга, записях и информации.

9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга.

10. Конфиденциальность важнейшей банковской информации.

C. Управление правовым и репутационным рисками (принципы 11–14).

11. Правильное раскрытие информации для обслуживания в рамках электронного банкинга.

12. Конфиденциальность клиентской информации.

13. Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках электронного банкинга.

14. Планирование реагирования на случайные события.

Надо отметить, что акцент только на два банковских риска не следует считать «хрестоматийным», поскольку он типичен только для стран Западной Европы в силу сложившихся там за более чем три столетия традиций ростовщичества (банковской деятельности); в российских условиях внимание необходимо уделять всем пяти упомянутым ранее банковским рискам.

Далее подробно рассматриваются принципы пруденциального осуществления УБР в условиях применения технологий электронного банкинга. Необходимо заметить, что первая группа принципов по существу устанавливает своего рода «квалификационные требования» к высшему руководству кредитных организаций, применяющих технологии электронного банкинга, или же их исполнительным органам.

Принцип 1. Совету директоров и высшему руководству следует установить эффективное управленческое наблюдение над рисками, связанными с деятельностью в рамках электронного банкинга, включая организацию специального учета, политики и средств контроля для управления этими рисками.

В комментариях к этому принципу подчеркивается, что «совету директоров и высшему руководству следует удостовериться в том, что их банк не включается в новый бизнес в сфере электронного банкинга или не внедряет новые технологии без наличия необходимых знаний для обеспечения компетентного наблюдения за управлением рисками. Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых данным банком технологий электронного банкинга и соответствующих приложений. Адекватная квалификация является принципиально важной независимо от того, находятся системы электронного банкинга и соответствующие варианты обслуживания под собственным управлением банка или эти функции переданы третьим сторонам. Процессы наблюдения со стороны высшего руководства следует осуществлять на динамической основе, чтобы обеспечивалось эффективное вмешательство и коррекция любых материальных проблем с системами электронного банкинга или недостатков в обеспечении безопасности[108], которые могут иметь место».

Также совету директоров и высшему руководству кредитной организации «следует убедиться в том, что организованные ими процессы управления рисками для деятельности в рамках электронного банкинга интегрированы в общий подход банка к управлению рисками. Принятая в банке политика и существующие процессы управления рисками должны быть оценены с точки зрения гарантии того, что они достаточно устойчивы, чтобы парировать новые риски, возникающие из-за текущей или планируемой деятельности в области электронного банкинга. Дополнительные меры по наблюдению за управлением рисками, которые следует принять во внимание совету и высшему руководству банка, включают:

четкое определение приемлемого уровня риска для конкретной банковской организации в рамках электронного банкинга;

определение ключевых механизмов распределения полномочий и предоставления отчетности, включая необходимые расширенные процедуры для тех случаев, которые влияют на безопасность, надежность или репутацию банка (к примеру, сетевое проникновение, нарушение правил безопасности со стороны работников и любое серьезное нарушение в использовании компьютерных средств)[109];

обращение внимания на любые специфические факторы риска, ассоциируемые с гарантиями безопасности, целостностью и доступностью услуг и видов обслуживания в части электронного банкинга и требующие принятия адекватных мер со стороны тех контрагентов, которым банк доверил обслуживание ключевых систем или прикладного программного обеспечения;

осуществление необходимого анализа выполнения обязательств и рисков еще до того, как банк начнет осуществление транзакций в рамках электронного банкинга».

При этом отмечается, что в зависимости от масштаба и сложности деятельности в рамках электронного банкинга охват программ управления рисками и их структура будут различными для разных кредитных организаций.

Ресурсы, требуемые для наблюдения за обслуживанием в части электронного банкинга, как сказано, «следует определять в соответствии с транзакционной функциональностью и значимостью систем, уязвимостью сетей связи и важностью передаваемой по ним информации». Типичным недостатком рекомендаций такого рода является отсутствие указания на то, каким конкретно образом следует это делать и как именно оценить предполагаемое «соответствие» (что в условиях применения новой ТЭБ приобретает для кредитной организации особое значение именно из-за отсутствия готовых «рецептов» практического обеспечения пруденциальности банковской деятельности).

Принцип 2. Совету директоров и высшему руководству следует проверять и утверждать ключевые составляющие процессов контроля безопасности банка.

Совету директоров и высшему руководству банка следует наблюдать за разработкой и «продолжением поддержания инфраструктуры контроля над безопасностью, которая обеспечивает должную защиту систем электронного банкинга и данных как от внутренних, так и от внешних угроз. При этом следует установить соответствующие права авторизации, логические и физические средства контроля доступа, а также адекватную инфраструктуру обеспечения безопасности для поддержания должных возможностей и ограничений в отношении действий как внутренних, так и внешних пользователей». Также «целесообразно зафиксировать в распорядительных документах, что защита банковских активов является одной из областей ответственности высшего руководства кредитной организации» (как будто это и так не ясно!).

Чтобы гарантировать наличие должных средств обеспечения безопасности для деятельности в рамках электронного банкинга, «совету и высшему руководству банка требуется удостовериться в существовании в их банке полноценного процесса обеспечения защиты, включая политику и процедуры, которые касаются потенциальных внутренних и внешних угроз безопасности как в части предотвращения инцидентов, так и в части реагирования на такие происшествия. Ключевыми компонентами эффективного процесса обеспечения безопасности электронного банкинга являются:

установление однозначно определенной ответственности руководства и персонала за организацию и соблюдение корпоративной политики безопасности[110];

наличие достаточно эффективных средств физического контроля для предотвращения несанкционированного физического доступа к компьютерному оборудованию;

наличие достаточных средств логического контроля и процессов мониторинга[111] для предотвращения неавторизованного внутреннего[112] и внешнего доступа к прикладным программам и базам данных электронного банкинга;

регулярный пересмотр и тестирование мер безопасности и средств контроля, включая постоянное отслеживание современных отраслевых разработок в области безопасности и инсталляцию обновленных версий соответствующего программного обеспечения, служебных пакетов и прочие необходимые меры[113]».

Очевидно, что для реализации этого принципа необходимо наличие знаний (подготовки) в области ОИБ, что предполагает включение соответствующих требований в квалификационные характеристики членов совета директоров кредитной организации, а также ее наблюдательного совета.

Принцип 3. Совету директоров и высшему руководству следует внедрять полноценные и непрерывные процессы наблюдения и контроля выполнения обязательств для управления отношениями банка с провайдерами услуг и другими сторонами, которые обеспечивают поддержку операций электронного банкинга.

В комментарии к этому принципу отмечено, что «повышенная зависимость от партнеров и сторонних провайдеров услуг при осуществлении критических функций в рамках электронного банкинга снижает возможности непосредственного контроля над ними со стороны руководства банка». Соответственно, оказывается необходимой организация всеобъемлющей процедуры управления источниками рисков, ассоциируемыми с заказной обработкой данных и зависимостью банковской деятельности от других сторонних организаций. Процесс формирования, поддержания и «контроля отношений с провайдерами должен охватывать стороннюю деятельность партнеров и провайдеров обслуживания, включая субконтракты на заказную обработку, которые могут иметь материальные последствия для банков». Такой подход для отечественных кредитных организаций пока что нетипичен (ввиду недостаточно развитой инфраструктуры в большинстве российских регионов, хотя в московском регионе ситуация уже изменилась, и провайдеры лишены возможности диктовать кредитным организациям свои условия), однако сам факт наличия разнообразных зависимостей этих организаций от функционирования и качества выполнения SLA (от этого зависят также интересы ее клиентов ДБО) предполагает включение соответствующих положений в распорядительные документы, а на их основе — во внутрибанковские документы, регламентирующие работу подразделений, от которых руководству организации потребуется содействие для реализации описанной функции.

Принцип 4. Необходимо принимать должные меры по аутентификации идентичности и авторизации клиентов, с которыми они осуществляют деловые операции через Интернет.

В этом случае указывается, что кредитным организациям «следует применять надежные методы для верификации идентичности и авторизации новых клиентов, также как и аутентификации идентичности и авторизации зарегистрированных клиентов, обращающихся за проведением электронных транзакций. Верификация клиентов при определении происхождения счета важна для снижения риска хищений идентификационных данных, мошеннических действий со счетами и отмывания денег».

Установление и аутентификация идентичности того или иного лица, а также авторизации доступа к банковским системам в условиях полностью электронной открытой сети связи могут оказаться непростой задачей. Отмечается, что «легитимная авторизация» пользователя может быть фальсифицирована с помощью различных методов, обычно определяемых как «мистификация»[114]. Хакеры могут также перехватывать содержание сеансов легитимно авторизованных лиц, используя так называемые «снифферы»[115], и выполнять действия вредоносного или криминального характера. Помимо прочего, процессы контроля аутентификации могут быть обойдены посредством воздействия на базы данных, хранящие аутентификационные сведения.

Критично важным является наличие в кредитной организации официально принятой политики и процедур, определяющих методологию (или методики), позволяющую гарантировать, что отдельный банк должным образом осуществляет аутентификацию идентичности и авторизации прав того или иного лица или системы’ с помощью уникальных способов и настолько, насколько это практично, гарантирует исключение участия неавторизованных лиц или систем[116]. Банки могут применять разнообразные методы для осуществления аутентификации, включая PIN-ы, пароли, микропроцессорные карты, биометрику и цифровые сертификаты[117]. Эти методы могут быть одно- или многопараметрическими (имея в виду использование как пароля, так и биометрических технологий[118] для аутентификации пользователя); многопараметрическая аутентификация в общем случае «обеспечивает большую уверенность в идентификации».

При этом подчеркивается (и это становится все более значимым в современном мире), что надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий электронного банкинга, учитывая осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, «включая повышенный риск обезличивания индивидуальности и значительные затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам». К этому тесно примыкает проблематика «специфического» использования оффшорных зон.

Поскольку методы аутентификации продолжают совершенствоваться, кредитным организациям рекомендуется «перенимать используемые в отрасли надежные методы работы в данной части», обеспечивающие:

защиту аутентификационных баз данных, которые предназначены для организации доступа к счетам клиентов электронного банкинга или важным системам, от изменения и повреждения. Любое подобное воздействие должно обнаруживаться, при этом должны вестись аудиторские записи для документирования попыток такого рода;

должную авторизацию любых добавлений, удалений или изменений в аутентификационной базе данных для того или иного лица, агента или системы, с помощью какого-либо источника аутентификационных данных[119];

осуществление должных мер контроля подключений к СЭБ, таких, чтобы никто со стороны не мог подменять известных клиентов;

поддержание безопасности аутентификационного сеанса в рамках электронного банкинга во время всей его длительности или затребование повторной аутентификации в случае возникновения ошибок в защите.

Принцип 5. Необходимо использовать методы аутентификации транзакций, которые способствуют невозможности отказа от операций (доказательного подтверждения операции) и обеспечивают возможность учета транзакций в рамках электронного банкинга.

Невозможность отказа от операции обеспечивается за счет формирования доказательства по ее источнику или предоставлению информации в электронной форме для защиты отправителя от ложного отрицания получателем того, что конкретные данные были получены, или для защиты получателя от ложного отрицания отправителем того, что конкретные данные были отправлены. Риск отрицания совершения операций (еще один вид банковского риска?) стал реальностью в обычных транзакциях, осуществляемых посредством кредитных карточек; в то же время ТЭБ повышает этот риск ввиду сложности положительной аутентификации идентичности и полномочий тех, кто инициирует транзакции (имея в виду прежде всего ПОД/ФТ в широком смысле) «возможностей воздействия на электронные транзакции и их перехват, а также возможностей для пользователей технологий электронного банкинга» заявлять, что имело место мошенническое воздействие на их транзакции. Чтобы парировать новые угрозы такого рода, приходится предпринимать усилия, соразмерные со значимостью и типами транзакций в рамках электронного банкинга, и обеспечивать:

разработку систем электронного банкинга таким образом, чтобы понизить вероятность инициирования авторизованными пользователями «непреднамеренных» транзакций[120], и полное понимание клиентами тех рисков, которые связаны с любыми инициируемыми ими транзакциями;

точную аутентификацию всех участников конкретной транзакции и поддержание контроля над аутентифицированным каналом взаимодействия;

защиту данных о финансовых транзакциях от воздействия извне и обнаружение любых воздействий такого рода.

Принцип 6. Необходимо гарантировать наличие должных мер по адекватному разделению обязанностей в системах баз данных и прикладных программных комплексах электронного банкинга.

«Разделение обязанностей представляет собой основную меру внутреннего контроля, предназначенную для уменьшения риска мошенничества в операционных системах и процессах, а также обеспечения должной авторизации, фиксации и защищенности транзакций и активов своих компаний. Разделение обязанностей является критичным для гарантирования точности и целостности данных и используется для предотвращения проникновения злоумышленников. Если обязанности разделены правильно, то мошенничество может быть совершено только на основе тайного сговора».

Обслуживание в рамках электронного банкинга может привести к необходимости изменения способов, которыми осуществляется и поддерживается разделение обязанностей, поскольку транзакции выполняются через автоматизированные системы, в которых действующих лиц легче замаскировать или подменить. Поэтому «в типичную практику организации и поддержания разделения обязанностей в системах электронного банкинга входят»:

разработка транзакционных процессов и систем таким образом, чтобы гарантировалась невозможность ввода, авторизации и завершения транзакций для работников банка или провайдера заказных услуг;

соблюдение разделения функций между теми, кто работает со статичными данными (включая содержание web-страниц), и теми, кто отвечает за верификацию и целостность данных;

тестирование систем электронного банкинга на предмет проверки невозможности обхода установленного разделения обязанностей;

соблюдение разделения функций между теми, кто разрабатывает, и теми, кто администрирует системы электронного банкинга[121].

Принцип 7. Необходимо обеспечивать наличие должных средств авторизации и полномочий доступа для систем, баз данных и приложений электронного банкинга.

Для поддержания разделения обязанностей кредитным организациям необходимо строго контролировать авторизацию и полномочия доступа. Недостатки в обеспечении адекватного контроля авторизации могут дать возможность отдельным лицам расширить свои права авторизации, обойти разделение функций и получить НСД к системам, базам данных и прикладным программам электронного банкинга, к которым они не допущены. В системах электронного банкинга права авторизации и доступа могут устанавливаться как централизованно, так и распределенным образом (причем и в ЛВС, и в ЗВС, а на современном уровне — и в трансграничных вариантах); соответствующие параметры обычно заносятся в базы данных, защита которых от внешнего воздействия или повреждения является принципиально необходимой для эффективного контроля авторизации.

Принцип 8. Необходимо обеспечивать наличие должных мер защиты целостности данных в транзакциях, записях и информации электронного банкинга.

Под целостностью данных понимается гарантия того, что передаваемая или хранимая информация не подвергалась неавторизованному воздействию. Недостатки в обеспечении целостности данных в транзакциях, записях и информации, являясь источниками компонентов банковских рисков, могут подвергнуть кредитные организации финансовым потерям. При сквозной обработке может быть затруднено своевременное обнаружение ошибок программирования или мошеннической деятельности на ранней стадии.

Поскольку данные об операциях электронного банкинга передаются по открытым телекоммуникационным сетям, транзакции подвержены дополнительным опасностям из-за искажения данных, мошенничества и воздействия на записи в базах данных. Поэтому необходимо обеспечивать использование должных мер, позволяющих удостовериться в точности, полноте и надежности транзакций и информации электронного банкинга, которые могут передаваться через Интернет или передаваться/храниться провайдерами по поручению кредитной организации[122]. Типичные меры, применяемые для поддержания целостности данных в комплексах электронного банкинга, включают:

проведение транзакций электронного банкинга таким образом, чтобы гарантировалась их высокая устойчивость к внешним воздействиям на протяжении всего этого процесса;

хранение, предоставление и модификацию записей об операциях электронного банкинга таким образом, который обеспечивает их высокую устойчивость к внешним воздействиям;

разработку процессов обработки транзакций и хранения записей электронного банкинга таким образом, чтобы было фактически невозможно воспрепятствовать обнаружению неавторизованных изменений;

осуществление адекватной политики контроля над изменениями, включая процедуры мониторинга и тестирования, для защиты против любых изменений в СЭБ, которые могут из-за ошибочных или намеренных действий повредить средствам управления или нарушить целостность данных;

обнаружение любого воздействия на транзакции или записи электронного банкинга с помощью функций обработки транзакций, мониторинга и обеспечения сохранности данных.

Принцип 9. Банкам следует убедиться в формировании точных аудиторских записей по всем транзакциям электронного банкинга.

Удаленное предоставление финансовых услуг может затруднить кредитной организации внедрение и применение средств ВК и поддержание точных аудиторских записей, если то и другое не адаптировано к технологии электронного банкинга. Также может быть осложнено осуществление независимого аудита средств контроля, особенно в части критичных для операций электронного банкинга событий и прикладных программ. Это обусловлено тем, что многие, если не все записи о таких операциях и фиксации событий осуществляются только в электронной форме. «При определении ситуаций, в которых следует обеспечивать наличие точных аудиторских записей, учитываются следующие действия:

— открытие, изменение или закрытие счетов клиента,

— все транзакции, влекущие финансовые последствия,

— любая авторизация, модификация или аннулирование прав или полномочий доступа к автоматизированной системе».

Принцип 10. Банкам следует принимать должные меры для сохранения конфиденциальности важнейшей информации в области электронного банкинга, при этом меры для сохранения конфиденциальности должны быть соразмерны значимости информации, передаваемой и (или) хранимой в базах данных.

Конфиденциальность определяется БКБН как «уверенность в том, что важная информация остается частной в банке и не просматривается или не используется никем кроме тех, кто имеет на это право (авторизацию)». Внедрение ТЭБ приводит к появлению новых проблем с ОИБ для кредитной организации и ее клиентов, поскольку увеличивает возможности доступа к информации, передаваемой через открытые сети связи или хранимой в базах данных, со стороны неавторизованных лиц, или же использования ее такими способами, которые не предполагались предоставившим ее клиентом. Кроме того, указывается, что «использование услуг провайдеров может привести к раскрытию важнейших банковских данных посторонним».

Чтобы не возникало проблем с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, «необходимо гарантировать, что:

доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем;

для всех конфиденциальных банковских данных в процессе передачи через открытые, частные или внутренние сети связи обеспечивается безопасность и защита от несанкционированного просмотра или изменения;

в случаях использования заказной обработки обеспечивается соответствие стандартам и способам контроля банка над использованием данных и их защитой при получении доступа к этим данным сторонних организаций;

весь доступ к данным ограниченного использования фиксируется и приняты необходимые меры по защите журналов регистрации доступа к этим данным от внешнего воздействия».

Принцип 11. Необходимо убедиться, что на web-сайтах представлена правильная информация, позволяющая потенциальным клиентам банка сделать обоснованные заключения относительно самого банка еще до проведения транзакций через систему электронного банкинга.

Как поясняется в комментариях к этому принципу, руководству кредитной организации необходимо до начала ДБО обеспечить полноту и достоверность информации, представляемой на используемых кредитной организацией web-сайтах. «В число примеров информации, которую банк может представить на своем web-сайте, входят:

название банка и сведения о местоположении его головного офиса (а также региональных офисов, если они существуют);

указание на основной орган (или органы) надзора за банком, ответственный за осуществление надзора за головным офисом банка;

способы контакта клиентов банка с его центром обслуживания клиентов, решающим проблемы с услугами, рассматривающим жалобы, подозрения в неправомочном использовании счетов, и т. п.;

способы контакта клиентов и общения с соответствующим наблюдательным органом или структурами, отвечающими за определение правил обслуживания потребителей;

способы получения клиентами доступа к информации о возможных государственных компенсациях или страховом покрытии депозитов, а также об уровне защиты, который ими обеспечивается (или же указание на web-сайт с такой информацией);

другая информация, которая может быть полезна или затребована в рамках конкретных юрисдикций[123]».

Надо отметить, что эта проблематика изучалась Банком России в связи с большим количеством недостатков в предоставлении кредитными организациями информации на своих представительствах в Сети, что выразилось в разработке Указания оперативного характера от 3 февраля 2004 г. № 16-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет», где тематика определения содержания и организации web-сайтов, используемых в банковской деятельности, была раскрыта существенно шире, чем предлагалось БКБН в комментариях к этому принципу; в 2009 г. этот документ был заменен письмом с аналогичным названием[124]. Сами факты размещения неполной и недостоверной информации на web-сайтах кредитных организаций свидетельствуют о том, что руководство этих организаций не формировало специального внутрибанковского процесса при выходе их в Сеть (на самом деле в оптимальном варианте организации банковской деятельности в рамках ДБО такой процесс должен был бы формироваться еще до открытия кредитной организацией своего первого web-сайта), вследствие чего возникали компоненты правового и репутационного рисков. Такие компоненты могут негативно повлиять на имидж кредитной организации, результатом чего обычно становится упущенная выгода.

Принцип 12. Необходимо принимать должные меры в обеспечение гарантии конфиденциальности для клиентов, применимые в той юрисдикции, в пределах которой данный банк предоставляет услуги и виды обслуживания, относящиеся к электронному банкингу.

В комментариях к этому принципу БКБН подчеркивает, что «ненадлежащее использование или неавторизованное раскрытие конфиденциальных клиентских данных подвергает банк как правовому, так и репутационному риску». К этому стоит добавить, что если причиной этих негативных явлений оказываются такие недостатки во внедренной кредитной организацией ТЭБ или в реализующей ее СЭБ, которые изначально трудно предвидеть, то к указанным рискам могут добавиться компоненты операционного и стратегического рисков (в их взаимосвязи).

Далее в рассматриваемом документе говорится о том, что «для решения проблем, относящихся к сохранению конфиденциальности клиентской информации, банкам следует прилагать разумные усилия по обеспечению того, чтобы:

в политике и стандартах банка, описывающих соблюдение конфиденциальности для клиента, были учтены и соблюдены требования всех законов и правил, касающихся конфиденциальности и применимых в пределах той юрисдикции, в рамках которой предоставляются услуги и виды обслуживания, относящиеся к электронному банкингу;

клиенты были поставлены в известность о политике соблюдения конфиденциальности банком и соответствующих вопросах соблюдения конфиденциальности, относящихся к использованию услуг и видов обслуживания по электронному банкингу;

клиенты могли отклонять („вычеркивать“) разрешения на предоставление банком третьим сторонам в целях перекрестного маркетинга любой информации о персональных потребностях, интересах, финансовом положении или банковской деятельности клиента;

клиентские данные не использовались для целей, выходящих за пределы того, для чего их разрешено использовать, или вне целей, которые были авторизованы клиентом.

Стандарты банка в отношении использования клиентских данных соблюдались при доступе третьих сторон к клиентским данным на основе отношений в рамках заказной обработки».

Принцип 13. Следует эффективно планировать производительность, непрерывность бизнеса и реакцию на непредвиденные события в обеспечение доступности систем и обслуживания в части электронного банкинга.

В соответствующем комментарии указывается, что «каждый конкретный банк должен обладать возможностями предоставления услуг в рамках электронного банкинга конечным пользователям со стороны как первичного их источника (например, внутренних систем и прикладных программ банка), так и вторичного (например, систем и прикладных программ провайдеров тех или иных услуг). Поддержание требуемой доступности зависит также от способности резервных систем обеспечения непрерывности функционирования парировать атаки типа отказа в обслуживании или другие события, которые потенциально могут вызвать прерывание деловых операций». Примеры, которые были приведены в главе 2, подтверждают положения о том, что «проблема поддержания непрерывной доступности систем и приложений электронного банкинга может оказаться значимой с учетом возможного высокого спроса на проведение транзакций, особенно в периоды пиковой нагрузки. Кроме того, высокие ожидания клиентов относительно короткого цикла обработки транзакций и постоянной доступности „24 × 7“ также повысили важность надежного планирования производительности, непрерывности деловых операций и реакции на непредвиденные ситуации».

В связи с изложенным «для обеспечения такой непрерывности обслуживания клиентов в рамках электронного банкинга, которую они ожидают, банкам необходимо гарантировать, что:

существующая в настоящий момент производительность системы электронного банкинга и ее перспективная масштабируемость анализируются с учетом общей динамики данного рынка электронной коммерции, а также предполагаемого темпа восприимчивости клиентами услуг и видов обслуживания в области электронного банкинга[125];

оценки производительности обработки транзакций в рамках электронного банкинга сделаны, проверены при максимальной нагрузке и периодически пересматриваются;

имеются в наличии и регулярно проверяются соответствующие планы по поддержанию непрерывности деловых операций и действий при непредвиденных обстоятельствах для критических систем обработки и доведения услуг в рамках электронного банкинга».

Принцип 14. Следует разработать должные планы реагирования на случайные происшествия для выявления, учета и минимизации проблем, обусловленных неожиданными событиями, включая внутренние и внешние атаки, которые могут ухудшить обеспечение систем и видов обслуживания в рамках электронного банкинга.

Эффективные механизмы реагирования, как сказано в тексте, «на случайные происшествия» являются принципиально важными для минимизации уровней как минимум операционного, правового и репутационного рисков (а в связи с ними, возможно, и стратегического риска), обусловливаемых неожиданными, хотя и предсказуемыми событиями, такими как внутренние и внешние сетевые атаки, которые могут оказать влияние на функционирование систем и предоставление услуг электронного банкинга. Поэтому указывается, что «банкам следует разработать соответствующие планы реагирования на случайные происшествия, включая стратегию обеспечения связи, которая гарантирует непрерывность деловых операций, контроль над репутационным риском и ограничивает обязательства, ассоциируемые с прерыванием осуществляемого ими обслуживания в рамках электронного банкинга, включая те, которые связаны с использованием систем и операций в рамках заказной обработки».

В связи с изложенным выше кредитным организациям целесообразно в обеспечение «эффективного реагирования на непредвиденные происшествия сформировать:

планы реагирования на происшествия, описывающие восстановление систем и обслуживания в области электронного банкинга для различных сценариев, деловых операций и географических зон. Анализ сценариев развития событий должен включать рассмотрение вероятности возникновения риска и его влияния на конкретный банк. Системы электронного банкинга, которые переданы сторонним провайдерам услуг, должны учитываться в таких планах, как неотъемлемая часть;

механизмы оперативного выявления происшествий или кризисных ситуаций, оценивания их материального эффекта и контроля над репутационным риском, ассоциируемым с любым прерыванием в обслуживании;

стратегию обеспечения связи для адекватного реагирования на внешние проблемы рыночного или информационного характера, которые могут возникнуть в случае нарушений безопасности, онлайновых атак и (или) отказов систем электронного банкинга;

четкий процесс, организованный для уведомления соответствующих регулятивных органов в случае происшествий, связанных с реальным ущербом безопасности или прерыванием работы;

группу реагирования на происшествия, наделенную полномочиями экстренного реагирования и имеющую достаточную подготовку в части анализа систем выявления/парирования происшествий и оценивания значимости связанных с ними результатов;

четкую последовательность обязательных действий, охватывающую как внутренние, так и заказные операции, чтобы гарантировать, что осуществляются должные действия, соответствующие значимости происшедшего. Кроме того, следует разработать процедуры распространения сведений, а также учесть информирование совета банка в случае необходимости;

процесс, гарантирующий, что все имеющие отношение к делу внешние участники, включая клиентов банка, контрагентов и информационные органы, будут правильно и своевременно информированы о реальных прерываниях в операциях электронного банкинга и о работах по восстановлению данной деятельности;

процесс для сбора и накопления учитываемых в судебных разбирательствах свидетельств, в обеспечение должного последующего анализа любого происшествия в связи с операциями электронного банкинга, а также для содействия судебному преследованию нарушителей».

В приложениях к рассмотренному документу БКБН приводятся рекомендации по внедрению описанных принципов и практические примеры надежной организации:

— в помощь обеспечению безопасности операций электронного банкинга;

— при управлении внешними системами электронного банкинга и другими зависимостями от сторонних организаций;

— управления внешними системами электронного банкинга и другими зависимостями от сторонних организаций;

— обеспечения наличия точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга;

— обеспечения конфиденциальности клиентской информации в рамках осуществления электронного банкинга;

— и правильной организации планирования производительности, непрерывности операций и действий в случае чрезвычайных обстоятельств.

Эти примеры, как и содержание самого материала[126], могут быть использованы руководством и персоналом высокотехнологичных кредитных организаций для усовершенствования УБР и снижения их уровней, а следовательно, для повышения технологической надежности банковской деятельности.

Аналогичный, но более детализированный подход использован в упоминавшемся в начале книги Письме 36-Т, где в разделе 1 определены семь основных целей разработки рекомендаций Банка России (п. 1.2), непосредственно относящихся к гарантиям надежности банковской деятельности и касающиеся базовых характеристик банковской деятельности, а именно, обеспечения:

«надежного дистанционного банковского обслуживания с применением систем интернет-банкинга, отвечающего требованиям клиентов кредитной организации в части доступности, функциональности и защищенности операций и данных интернет-банкинга;

соответствия дистанционного банковского обслуживания с применением систем интернет-банкинга требованиям законодательства Российской Федерации, в том числе нормативных актов Банка России, по вопросам банковской деятельности и управления банковскими рисками;

информационной безопасности систем интернет-банкинга, в том числе защиты информационных ресурсов кредитной организации от неправомерного доступа с применением интернет-технологий;

контроля за банковскими операциями, осуществляемыми клиентами с применением систем интернет-банкинга, в рамках системы внутреннего контроля кредитной организации;

противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключению вовлечения кредитной организации в противоправную деятельность при использовании дистанционного банковского обслуживания с применением систем интернет-банкинга;

достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга;

поддержания уровней банковских рисков, связанных с дистанционным банковским обслуживанием с применением систем интернет-банкинга, в пределах, установленных кредитной организацией».

Там же, в разделе 4, определяется минимально необходимый состав внутрибанковских документов, в которых целесообразно постулировать основные принципы УБР, непосредственно связанные с применением ДБО. Прежде всего внимание специалистов кредитных организаций обращается на то, что целесообразно определить (описать) все технологические участки информационного контура интернет-банкинга, подлежащие учету при адаптации управления рисками банковской деятельности в новых условиях (п. 4.1). Также желательно проанализировать содержание организационного и информационного взаимодействия с клиентами и провайдерами кредитной организации, с позиций учета потенциальных источников этих рисков в случае наличия недостатков в этом содержании. Наконец, уместно оценить зависимость состава факторов и источников риска для кредитной организации от функционирования комплекса АПО ДБО. Считается, что подобный анализ позволит выделить как минимум основные потенциальные уязвимости кредитной организации, которые могут потребовать введения дополнительного управленческого контроля в обеспечение надежной банковской деятельности.

Принципиально важными в этом плане являются следующие три основных положения, которые, впрочем, могут учитываться и безотносительно организации УБР в условиях ДБО:

1) организация каждого внутрибанковского процесса должна предваряться и по мере его развития сопровождаться разработкой документов, описывающих содержание и регламентирующих данный процесс;

2) каждый внутрибанковский документ должен иметь официальный статус, определяющий место и роль конкретного документа в кредитной организации и в отношении точно определенного процесса;

3) каждый внутрибанковский документ должен быть доведен до всех участников процесса, который данный документ регламентирует и (или) описывает, при этом знание содержания каждого документа должно подтверждаться.

Что касается содержания внутрибанковских документов, в той или иной степени имеющих отношение к организации управления рисками банковской деятельности, то оно конкретизировано (не имея в виду некий «диктат» названий, но именно смысловое содержание) в части ряда основных внутрибанковских процессов, имеющих прямое отношение к проблематике ДБО (кстати, впервые в российской истории банковского регулирования).

В заключение рассмотрения Письма 36-Т важно заметить, что в его раздел 5 сведено описание состава информационных компонентов, которые руководству кредитной организации, переходящей к ДБО, целесообразно было бы включить в состав своей ПСУ, с тем чтобы гарантировать высокое качество решений, принимаемых в отношении применения ТЭБ и контроля функционирования соответствующей СЭБ. Естественно, списки информационных компонентов, приведенные в каждом из подразделов, кредитная организация должна «примерить на себя», чтобы обеспечивалась необходимая ей ППР. На таких принципах, кстати сказать, строятся как системы ППР, так и так называемые «экспертные системы», используемые в банковской деятельности и в банковском контроле за рубежом.

Для оценки состояния УБР и качества реализующего его внутрибанковского процесса (или степени развития, как это определено в главе 3 этой книги) может быть использована простая рейтинговая система, популярная в Западной Европе, в соответствии с которой установлены следующие градации (оценки степени развития от 1 до 5, сверху вниз):

1-й, низший уровень устанавливается в том случае, если официально принятого в кредитной организации подхода к УБР не существует, т. е. соответствующий процесс как таковой отсутствует. Такая ситуация свойственна практически всем малым кредитным организациям и многим средним. На 2-м уровне представление об исках и их основных видах существует, однако систематический подход к УБР отсутствует и, как это часто бывает, проблемы не предвидятся, а «решаются» по мере их возникновения. При этом нет и устоявшихся подходов к поиску подобных решений, так что ситуация с процессом УБР такая же, как в первом случае. Уровень 3 означает, что в организации имеются документы, содержащие определения банковских рисков, и они доведены до ее персонала, при этом могут делаться попытки установить границы или уровни допустимых рисков. В то же время систематический подход отсутствует в том плане, что результаты УБР зависят от ответственных за процесс сотрудников, а руководящая роль высшего менеджмента «не ощущается». На уровне 4 подход к УБР разработан и реализуется в форме типовых схем предупреждения появления источников компонентов банковских рисков, их выявления и компенсации негативного влияния. Тем не менее этот подход внедрен не во все внутрибанковские процессы, из-за чего отдельные инциденты время от времени происходят, но после их ликвидации принимаются корректирующие меры в отношении тех или иных внутрибанковских процессов. Наконец, 5-й уровень характеризуется наличием развитой системы УБР, которая внедрена на базе процесса ВК во все внутрибанковские процессы через службу внутреннего контроля (СВК). При этом реализована модель пруденциальной организации УБР с использованием превентивного анализа и упреждающей адаптации внутрибанковских процессов при внедрении новых банковских информационных технологий, а также оценкой эффективности этого процесса.

Для российских кредитных организаций типичным пока что является уровень 3, хотя некоторые крупные, работающие в течение длительного времени, организации приближаются к 4-му уровню. То же самое можно сказать о дочерних кредитных организациях зарубежных коммерческих банков, хотя в них ситуация двоякая: обычно внедрены документы головной организации, но реализация их пока отстает. По аналогии с градациями процессного подхода можно было бы предложить и 6-й уровень, имея в виду внедрение автоматизированных процедур для УБР и соответственно постоянного совершенствования этого процесса, однако, такое описание явно преждевременно.

В рекомендациях[127] органов банковского регулирования и надзора США (в частности ОСС) описана система оценивания рисков[128], которая предназначена для использования инспекторами, проверяющими коммерческие банки, и которая может быть использована в тех же целях службами внутреннего контроля и аудита самих банков’. Считается, что она позволяет единообразно оценивать девять основных банковских рисков (о которых шла речь в главе 2), а также определять, в каких случаях типовые процедуры оценивания уровней рисков следует расширить. Для большинства из этих рисков (за исключением репутационного и стратегического) рекомендуется оценивать так называемое «количество риска» (quantity of risk), качество управления риском (quality of risk management), уровень агрегированного риска (aggregate risk) и тенденцию изменения риска (direction of risk). Эта система была разработана для содействия инспекторам в определении степени рискованности банковской деятельности и принятии решений относительно степени и вида перспективного «надзорного внимания» к коммерческим банкам. В рамках этой системы профиль риска банка формируется по следующим «четырем измерениям», каждое из которых влияет на стратегию надзора (в данном случае ВК).

Количество риска — это уровень или масштаб того риска, который банк принимает на себя, и характеризуется как низкий (low), средний (moderate) или высокий (high)[129].

Качество управления риском — это оценка того, насколько хорошо риски идентифицируются, измеряются, управляются и контролируются, она характеризуется такими понятиями, как высокое (strong), среднее (satisfactory) и низкое (weak).

Агрегированный риск — это итоговая оценка относительно степени надзорного (контрольного) внимания. В нее входят суждения относительно количества риска и качества управления риском (инспектора присваивают весовые оценки каждому из них). Такой риск оценивается как низкий (low), средний (moderate) или высокий (high).

Тенденция изменения риска — это возможное изменение агрегированного уровня риска в течение следующих 12 месяцев, она характеризуется как снижение, стабильность или возрастание. Если уровень риска оценивается как снижающийся, то инспектор (читай — ВК) предполагает снижение уровня агрегированного риска в течение следующих 12 месяцев. Если уровень риска стабильный, то инспектор предполагает, что агрегированный риск останется неизменным. Если уровень риска возрастает, то инспектор предполагает повышение агрегированного риска в течение следующих 12 месяцев.

В качестве примера итогового оценивания уровней банковских рисков инспекторами, проверяющими коммерческие банки, можно привести таблицу из Community Bank Supervision. Comptroller's Handbook. ЕР-CBS, в которой объединены экспертные заключения относительно ситуации с операционным риском (табл. 5.1; в заголовках столбцов показаны оценки уровня риска, под ними — выводы, лежащие в их основе; стилистика формулировок и терминология сохранены)[130].

Таблица 5.1

Индикаторы количества операционного риска[131]

Аналогичные оценки и инспекционные заключения для качества управления операционным риском в кредитной организации сведены в следующую табл. 5.2.

Таблица 5.2

Аналогичные таблицы составлены для всех остальных банковских рисков[132]. Для получения каждого из итоговых экспертных заключений используется заданный набор предварительных выводов по каждому оцениваемому показателю (индикатору), эти наборы здесь не рассматриваются ввиду объемности цитированного материала[133]. В целом банковская организация надзора на основе рисков в США строится циклически, в соответствии с принятой системой оценивания рисков, и представлена на рис. 5.3 (где показана также матрица рисков, приведенная в виде табл. 2.1). Этот подход к оцениванию рисков банковской деятельности прошел длительную проверку временем, автоматизирован и считается эффективным.

Суждение о том, может ли «количество риска» считаться удовлетворительным или нет, зависит от того, насколько системы управления рисками в банке способны обеспечивать выявление, измерение, мониторинг принимаемого риска и управление им. При этом подчеркивается, что «уровни риска и качество управления риском должны оцениваться независимо», т. е. при присвоении конкретных отдельных рейтинговых оценок по системе оценивания рисков оценка уровня банковского риска не должна зависеть от оценки качества управления им независимо от того, считается оно высоким или низким. Кроме того, «высокие показатели по обеспечению капиталом не должны маскировать неадекватную систему управления рисками», поэтому не следует считать, что «высокие» уровни риска плохи сами по себе, а «низкие» хороши: «оценка уровня риска просто отражает то, какой риск банк принимает в ходе своей банковской деятельности. Оценка уровня считается хорошей или плохой в зависимости от того, насколько система управления рисками банка способна идентифицировать, контролировать риск такого уровня и управлять им». Приведенная цитата имеет прямое отношение к применению электронного банкинга ввиду того, что применение любой ТЭБ может рассматриваться как рискованное для банковской деятельности, хотя такая точка зрения, по-видимому, является упрощенной, поскольку зависит от «степени пруденциальности» условий этого применения.

В качестве примера — в связи с применением технологии интернет-банкинга — достаточно совершить короткий экскурс в историю возникновения и развития Интернета и сопоставить основные выводы из нее с реалиями ДБО через соответствующую сетевую среду. По версии, излагаемой во многих публикациях, история эта началась в 1962 г. во время интенсивной «холодной войны», которая велась так называемыми «западным миром» и «советским блоком». Тогда военные специалисты Пентагона, разрабатывавшие сценарии обмена атомными ударами между участниками уже не «холодного», а «горячего» конфликта, пришли к выводу, что в случае реализации «Советами» некоторых удачных сценариев ведения боевых действий управление войсками «Запада» может быть потеряно. Тогда было выработано простое предложение — воспользоваться в военных целях гражданскими сетями связи, которых к тому времени в США было уже довольно много: правительственные учреждения, финансовые и медицинские корпорации, университеты и другие организации сформировали развитую сетевую инфраструктуру, основанную на проводных, оптоволоконных, радиорелейных и даже спутниковых каналах связи. Очень быстро выяснилось, что эта идея нереализуема, поскольку все сети связи были созданы разными компаниями, базировались на разных аппаратно-программных платформах и работали под управлением несовместимых протоколов[134].

Вследствие этого к 1964 г. сформировались и были практически воплощены (в виде армейской сети связи ARPANET) две базовые идеи «Открытой информационной системы» и «Универсального протокола взаимодействия». Первая идея предполагала обеспечение возможностей для прохождения потоков данных в условиях изменения конфигурации вычислительной сети: даже если какие-то сегменты сетевой структуры выходили из строя или, наоборот, подсоединялись к некоей базовой сетевой структуре, то данные все равно попадали бы «из пункта А в пункт Б» за счет использования маршрутизации без какого-либо ущерба их целостности. Вторая идея предполагала возможность передачи потоков данных между любыми вычислительными сетями за счет использования универсального набора правил передачи из одной сети в другую через шлюзовые элементы. Соответственно перестало иметь значение, на каких средствах и как именно реализована архитектура вычислительной сети, поскольку потоки данных этой специфики «не замечали» и взаимодействие между сетями (Inter-Net) обеспечивалось.

Таким образом достигались необходимые связность и доступность в киберпространстве (которое реализацией описанных идей и было сформировано), что привело к бурному развитию интернет-технологий, вследствие чего до настоящего времени зависимость вычислительных сетей от интернет-технологий растет. Однако довольно быстро стало очевидным, что в условиях «связности и доступности» практически любой современный бизнес оказывается под угрозой, если в его организации не учтены ключевые аспекты информационной безопасности и защиты информации, особенно при вхождении Интернета в бизнес-инфраструктуру. К сожалению, это явилось прямым следствием противоречия между техническим прогрессом и пресловутым человеческим фактором, о чем удачно было сказано в одной из статей, напечатанных в североамериканском журнале «Atlantis Rising»[135]: «Если вы работаете в системе, основанной на честности, целостности, открытости и ясности, а в ней имеются люди, которые действуют вразрез с этими принципами, то их нельзя уличить. Все они вне подозрений». Имеется в виду, что в банковском бизнесе далеко не каждый из участников сетевого взаимодействия может иметь доступ и не ко всем информационным ресурсам (активам). Поэтому при внедрении такой СЭБ, как система интернет-банкинга, необходимо осознавать неизбежно присущие этой ТЭБ факторы риска, заложенные в ее идеологии, почему вопросы ОИБ и защиты информационных активов и стали весьма актуальными на фоне всеобщей эйфории применения в банковском деле интернет-технологий (способов межсетевого информационного взаимодействия), о чем говорилось в главе 1.

На самом деле ничего особенного в применении специальных защитных мер в описанных условиях нет; было бы странно, если бы удалось обойтись без них, и не только в банковском деле, но и в военном. Важно в любом варианте реализации ТЭБ кредитными организациями анализировать их особенности, прямо связанные с организационно-техническими решениями. В качестве примера можно привести варианты реализации интернет-банкинга.

Информационный — в этом варианте кредитная организация использует свой или сторонний web-сайт просто для того, чтобы «привлечь к себе внимание», разместив на нем информацию, включающую ее реквизиты, описания услуг, указание тарифов, рекламу и т. п. Принято считать (конечно, необоснованно), что такой вариант выхода в Сеть является безрисковым, поскольку в большинстве случаев физические связи между web-сайтом и вычислительной сетью кредитной организации отсутствуют. В тоже время, очевидно, что любой web-сайт представляет собой объект для хакерской атаки, вследствие которой он может быть блокирован, его функционирование может оказаться нарушено, его контент изменен и т. п. В книге /. Crume Inside Internet Security[136] приведен пример результативной атаки хакеров на web-сайт Центрального разведывательного управления США, которые на его стартовой странице разместили надпись «Центральное управление идиотов». В случае российских кредитных организаций проявляется эффект так называемой «недобросовестной конкуренции», которая приводит к размещению на атакуемых web-сайтах антирекламы, порочащих гиперссылок, баннеров порносайтов или казино и т. п. Поэтому даже в таком простейшем «информационном варианте» возможно возникновение компонентов репутационного и правового рисков, о чем руководство кредитной организации должно бы задуматься и организовать для сопровождения и контроля функционирования своих web-сайтов специальный внутрибанковский процесс (затрагивающий несколько подразделений и требующий документарного обеспечения).

Коммутационный — в этом варианте кредитная организация помимо предоставления информации о себе обеспечивает обмен информацией с клиентами, которые могут направлять ей сведения о себе, например об изменении адресных данных или реквизитов, передавать запросы, получать файлы форм или бланков и т. п. В таких случаях могут иметься физические связи между ее web-сайтом и ЛВС, вследствие чего руководству этой организации целесообразно обратить дополнительное внимание на противодействие реализации НСД, усиление антивирусной защиты и т. п., что требует организации дополнительных внутрибанковских процедур.

Операционный (транзакционный) — в этом варианте кредитная организация реализует ДБО с возможностью управления клиентом своими счетами (даже в масштабе времени, близком к реальному, из-за чего и возникло упоминавшееся ранее понятие «сквозной обработки»), Очевидно, что при таком варианте руководство кредитной организации должно уделять наиболее серьезное внимание вопросам ОИБ, поскольку могут возникать сетевые связи между «фронт-офисом» (перемещающимся в клиентскую зону концентрации источников риска) и ее «бэк-офисом», а значит, и последствия реализации компонентов банковских рисков могут оказаться также самыми серьезными.

В двух последних вариантах интернет-банкинга возможна реализация компонентов всех пяти типичных банковских рисков, о которых шла речь в главе 2, естественно, в тех случаях, когда содержанию процесса УБР, составу его процедур и связанных с ним внутрибанковских процессов руководством кредитной организации должного внимания не уделяется.

Обычно предполагается — и в этом выражается позиция как БКБН, так и североамериканских органов банковского регулирования и надзора, — что инициатива в образовании, реализации и контроле процедур такого рода (в свою очередь складывающихся во внутрибанковские бизнес-процессы) идет от органов управления кредитной организации. В то же время само проявление такой инициативы непосредственно связано со специфическими знаниями и квалификационными требованиями: их наличие как раз и выражается в осознании описанной проблематики. В части ДБО это относится как минимум к вопросам архитектуры и «физического» построения распределенных компьютерных систем и вычислительных сетей, контроля их функционирования, ОИБ, ВКи ФМ в кредитной организации. Тем самым предполагается наличие в составе органов управления кредитной организации, как подчеркивалось, специалистов с соответствующей квалификацией или, как отмечает БКБН, наличие в ней комитета, сформированного из специалистов, способных решать задачи по направлению ДБО.

Основной же проблемный фактор для кредитных организаций, осуществляющих процесс УБР в условиях применения ТЭБ и контроля над ним, заключается в том, что из-за различий в ее практической реализации возникает необходимость в точном учете конкретного состава реально действующих факторов и источников рисков в каждом отдельном случае. Из-за этого методика осуществления УБР оказывается заведомо индивидуальной для каждой кредитной организации, переходящей к ДБО. Следствием же этого становится необходимость тесного взаимодействия со службой УБР как минимум следующих подразделений кредитной организации: ИТ, ОИБ, ВК и ФМ, а также ее юридического обеспечения, сервис-центра и, возможно, операционных подразделений (в зависимости от установленного в кредитной организации распределения функций, обязанностей и ответственности). Работе этих подразделений и специфике, привносимой в ее организацию и содержание технологиями электронного банкинга, посвящены все следующие параграфы.

5.3. Адаптация информатизации банковской деятельности

Основное, что требуется для получения гарантий надежного и безопасного использования любой новой ИТ, — это обеспечение необходимой профессиональной квалификации и технической документации на реализующую ее АС. В условиях применения электронного банкинга, впрочем, к этому требованию добавляется понимание причин возникновения и особенностей реализации новых факторов и источников компонентов банковских рисков (включая ликвидацию «квалификационного разрыва», о котором говорилось ранее). Адаптация схемотехнического описания распределенных компьютерных систем и вычислительных сетей кредитной организации, включая ее филиалы и дополнительные офисы, задействованные в ИКБД, также имеет циклический характер. Это понимание целесообразно отразить во внутренних документах кредитной организации, например в таком, как «Политика внедрения и развития информационных технологий и автоматизированных систем», которая утверждается высшим руководством организации.

В соответствии с положениями такого документа при каждом внедрении новой ТЭБ логично предположить «запуск» очередного витка ЖЦ информатизации банковской деятельности с ее документарного обеспечения. Чрезвычайно полезно начинать его обновление с составления для каждого вновь формируемого канала доступа извне к информационно-процессинговым ресурсам кредитной организации схемы (диаграммы) потоков данных и их описания (включая узлы приема/передачи, обработки, хранения массивов данных, обозначения сетевых адресов и портов и т. п. — всего, что входит в топологию вычислительной сети). Зачастую эти элементарные (хотя и достаточно трудоемкие) мероприятия игнорируются, вследствие чего вся информация о размещении сетевых ресурсов и их функционировании хранится только в головах ответственных исполнителей. Такие ситуации представляют собой один из основных факторов риска для надежной работы БАС и СЭБ кредитной организации, особенно при наличии текучки кадров или образовании чрезмерной концентрации полномочий у каких-либо исполнителей в подразделении ИТ или ОИБ.

При принятии решения о переходе к ДБО клиентов руководителям и специалистам кредитной организации целесообразно проектировать и заранее закладывать в систему ДБО возможности ее масштабирования и повышения производительности, поскольку, как показывает практика, удачный с потребительской точки зрения вариант ДБО быстро приводит к резкому увеличению численности клиентуры, которая переходит к его использованию, а также объемов запрашиваемых ею банковских операций и сопутствующей информации. Одновременно возрастают финансовые потоки, управляемые дистанционно, — в то же время практика свидетельствует и о том, что немало кредитных организаций при развитии своего бизнеса в направлениях ДБО реально сталкиваются именно с нехваткой производительности СЭБ и БАС. В ряде случаев проблемы такого рода оказывается трудно решить не только без непредвиденных и заметных вложений в новое аппаратно-программное обеспечение, но также и без изменений в организационной структуре кредитной организации. Следствием этого, как правило, являются своего рода «наведенные» проблемы, возникающие одновременно с интеграцией новых систем ДБО с уже действующими операционными банковскими автоматизированными системами и системами информационного обеспечения руководства кредитной организации.

Степень зависимости результатов бизнеса от надежности компьютерных систем организации должна полностью осознаваться ее руководством и адекватно учитываться при распределении ресурсов. Важно отметить, что простое следование «требованиям времени», имея в виду наращивание кредитными организациями «технологических мышц», равно как и имиджевым соображениям, которые не обусловлены непосредственно стратегическим и бизнес-планами и т. п., скорее всего, приведет к реализации как компонентов операционного и стратегического риска (по минимуму), а если контроль над системами электронного банкинга окажется недостаточным, так и всех остальных из рассматриваемых здесь типичных банковских рисков. Такая ситуация хорошо иллюстрируется приведенной на рис. 5.4 карикатурой (с web-сайта www.cartoonbank.com).

Типичными проблемными вопросами, долгое время не решаемыми во многих отечественных кредитных организациях, остаются:

отсутствие планирования информатизации (политики информатизации);

неадекватное распределение ресурсов (остаточный принцип);

нехватка квалифицированного персонала (слабое знание новых систем);

недопустимое совмещение обязанностей (концентрация полномочий);

недостатки сетевых архитектур (доступность, уязвимость и т. п.);

незнание технологий провайдеров (источников компонентов банковских рисков);

недостаточный внутренний контроль (нехватка совокупной квалификации).

Наличие недостатков такого рода в части применения кредитной организацией ИТ для автоматизации банковской деятельности свидетельствует о существовании для нее серьезных и неучтенных факторов возникновения источников компонентов банковских рисков.

В организации и обеспечении процесса использования ИТ в кредитной организации (в том числе его документарного обеспечения) многое зависит от того варианта, который был изначально принят для автоматизации банковской деятельности в качестве основного. Вариантов создания программно-информационных комплексов ДБО всего три, это:

1) оригинальный собственный комплекс кредитной организации;

2) заказная разработка специализированной компанией-вендором;

3) приобретение комплекса СЭБ, изготовленного «под ключ».

Различия в организации внутрибанковских процедур в связи с каждым из подходов приводят к вариациям в составах факторов возникновения и источников компонентов банковских рисков, что полезно учитывать при уточнении содержания связанных с применением ИТ внутрибанковских процессов, порядков и документарного обеспечения банковской деятельности прежде всего в плане обеспечения эффективного УБР. Здесь также возможны различия в решении вопросов контролируемости ИТ и компенсации зависимостей кредитной организации от сторонних компаний (если обобщенно рассматривать вендоров как разновидность провайдеров[137]).

Естественно, в случае самостоятельной разработки БАС и СЭБ кредитная организация легче всего решает вопросы проектирования, основываясь на знании локальных условий персоналом, сопровождения, модернизации и во многом с ОИБ и контролем функционирования автоматизированных систем, а также их ПСИ. В то же время традиционные подходы к этим процессам часто связаны с тем, что происходит крайне нежелательное совмещение функций разработки и эксплуатации, управления и контроля, а также системного администрирования. С другой стороны, главной платой за этот подход являются расходы на содержание остаточно обширного штата специалистов высокой квалификации в области ИТ, что могут позволить себе далеко не все кредитные организации.

В случаях использования заказной разработки кредитная организация экономит на расходах на персонал, но попадает в известную зависимость от компании-разработчика, с которой ей приходится «выстраивать отношения», а значит, заботиться о подготовке исходных данных на разработку и согласование соответствующего технического задания, участвовать в обеспечении и организации ПСИ, а также в подготовке документации по их обеспечению и проведению (что является наиболее сложным после подготовки технического задания), равно как и решать вопросы модернизации автоматизированных систем или их замены по мере развития и усложнения бизнеса. К перечисленному добавляются организация и сопровождение договорных отношений, а также прогнозирование надежности вендора, поскольку в случае его ухода с рынка банковской автоматизации разработанная «под пожелания» заказчика АС останется без поддержки, а значит, и без развития и возможностей решения неотложных вопросов (например, разрешения чрезвычайных происшествий техногенного характера). Кстати сказать, все перечисленные функции требуют от персонала кредитной организации наличия и проявления достаточно высокой квалификации, хотя, конечно, далеко не в тех масштабах, что в предыдущем варианте.

Наконец, если АС приобретается кредитной организацией в готовом, «товарном» виде, то специалисты кредитной организации должны убедиться в том, что СЭБ точно соответствует потребностям банковской деятельности в варианте ДБО. Для этого необходимо не только наличие описания таких потребностей (что сродни подготовке исходных данных на разработку), но также изучение того, как были организованы и проводились ПСИ специалистами компании-разработчика, включая их программы и методики, протоколы и акты, контрольные примеры и тесты. Как и в предыдущем варианте, решать требуется и вопросы последующего сопровождения и модернизации СЭБ в процессе ее эксплуатации. Для того чтобы грамотно разобраться в этих вопросах, также требуется специальная квалификация. Кстати, для двух последних вариантов актуальной и очень сложной может оказаться задача подтверждения отсутствия в АС уже упоминавшихся ранее «недокументированных функций» («закладок»), хотя в отношении известной, зарекомендовавшей себя на рынке банковского АПО компании высказывание таких подозрений, скорее всего, окажется необоснованным.

Аналогичные вариации имеют место для размещения и сопровождения (ведения) web-сайтов, используемых в банковской деятельности (в широком смысле). Основные варианты включают:

подразделение информатизации кредитной организации;

аппаратный комплекс фирмы-разработчика web-сайта;

аппаратный комплекс компании-провайдера.

Имеются и другие варианты ДБО через компании-интеграторы, причем следует отметить, что отношения кредитной организации со сторонней компанией в каждом из них строится, как правило, индивидуальным образом, и специалисты ее подразделений — от ИТ, ОИБ, ВК до правового обеспечения — должны быть к этому готовы. Опять-таки размещение web-сайтов на средствах самой кредитной организации требует наличия квалифицированного персонала, владеющего web-технологиями, размещение на сторонних мощностях — детальной проработки текстов соответствующих контрактов.

В техническом плане надежность ДБО определяется прежде всего архитектурой и организацией резервирования компьютерных систем и каналов связи, входящих в ИКБД, в том числе находящихся вне кредитной организации. Не меньшее значение имеет применение средств сетевой и антивирусной защиты, а также так называемых систем «предотвращения вторжений» и систем «обнаружения вторжений», которые обозначаются преимущественно англоязычными аббревиатурами, соответственно, IPS и IDS[138], которые могут использоваться как порознь, так и в комбинации. Последние являются больше прерогативой подразделения ОИБ, хотя во многих российских кредитных организациях значительное количество функций ОИБ «исторически» выполняется их подразделениями ИТ, что в подавляющем большинстве случаев чревато повышением уровней компонентов банковских рисков, поскольку даже если специалисты ИТ имеют основательную подготовку в части ОИБ (а это все-таки не всегда так), то происходит чрезмерная концентрация полномочий высокого уровня в одном подразделении кредитной организации.

Руководству высокотехнологичной кредитной организации целесообразно уделять внимание ряду основных аспектов применения в ней информационных технологий, а именно: проектированию, созданию, обеспечению надежности, внедрению, эксплуатации, модернизации, замене банковских автоматизированных систем и систем электронного банкинга, управлению и контролю в области ИТ, а также квалификации персонала, решающего задачи применения ИТ для автоматизации банковской деятельности. Решение всех этих вопросов предпочтительно осуществлять в рамках ИСУ кредитной организации, которая одновременно служит целям контроля эффективности использования ИТ и автоматизированных систем. В отношении электронного банкинга для этого можно воспользоваться обобщенным подходом, к примеру, упомянутой в разделе 3 универсальной рейтинговой системой для информационных технологий (УРСИТ), которая была разработана органами банковского регулирования и надзора США в 1978 г. и модернизировалась до 1999 г., после чего используется, как считается, в «законченном» виде.

Создавалась УРСИТ Федеральным советом по проверкам финансовых учреждений[139], который является общим методическим органом для учреждений США, выполняющих регулятивно-надзорные функции в банковской системе, — основные из них: Федеральная резервная система (FRS), Управление контролера денежного обращения (ОСС) и Федеральная корпорация страхования депозитов (FDIC)[140]. В описании УРСИТ, официально зарегистрированной в США’, указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании информационных технологий и выявления тех учреждений и провайдеров услуг, в отношении которых необходимо особое внимание со стороны надзора». В то же время такими разработками пользуются и коммерческие банки, и другие финансовые учреждения США.

Основная цель применения УРСИТ заключается в выявлении таких организаций, чьи состояние или работа в части выполнения функций, реализуемых информационными технологиями, требуют специального контроля со стороны надзора. Эта рейтинговая система помогает проверяющим в оценке риска и описании установленных в ходе проверки фактов, поэтому система включает описания так называемых «компонентных» и «суммарных» (композитных) рейтингов, а также идентификацию рисков и оцениваемых факторов, которые учитываются при присвоении компонентных рейтингов. В рамках УРСИТ любое из контролируемых (проверяемых) финансовых учреждений или провайдеров услуг получает композитную рейтинговую оценку, которая основана на оценивании и присваивании рейтингов четырем компонентам, характеризующим деятельность организаций в части ИТ. Этими компонентами являются, по сути, четыре внутренних процедуры в самой организации, а именно:

1) проведение аудита ИТ;

2) управленческая деятельность в части ИТ;

3) организация системных разработок и приобретений;

4) организация поддержки и сопровождения ИТ.

Как для суммарного, так и для компонентных рейтингов используются цифровые оценки в диапазоне от 1 до 5 (соответственно от наилучшего случая к наихудшему). Итоговый рейтинг ассоциирован со следующими экспертными оценками (формулировками):

1 — безупречное функционирование;

2 — надежное и устойчивое функционирование;

3 — требуется незначительное надзорное внимание;

4 — ненадежные и неустойчивые условия работы;

5 — критическая операционная ситуация.

Основным назначением суммарного рейтинга является идентификация тех финансовых учреждений и провайдеров услуг, которые обнаруживают слишком большую уязвимость к рискам, ассоциируемым с информационными технологиями. Поэтому отдельной подверженности риску, которая явно влияет на жизнеспособность данной организации и (или) ее клиентов, должен присваиваться более высокий весовой коэффициент в суммарном рейтинге.

Суммарный рейтинг получается посредством суммирования качественных оценок[141] всех четырех компонентов. Между суммарным рейтингом и компонентными рейтингами функционирования существует связь, в то же время суммарный рейтинг не является арифметическим средним его компонентов. При использовании риск-ориентированного подхода простой арифметический расчет не отражает реального состояния ИТ. Любой низкий рейтинг одного компонента может сильно повлиять на общий суммарный рейтинг для того или иного учреждения. К примеру, если функция аудита реализуется неадекватно, то целостность автоматизированных систем как таковую нельзя с уверенностью подтвердить. Подходящим обычно оказывается значение суммарного рейтинга, не дотягивающее до удовлетворительного («3» — «5»), Таким образом, система УРСИТ имеет пирамидальную структуру, которая представлена на рис. 5.5. В его нижней части показана «плоскость рейтинговых компонентов», т. е. некая воображаемая область группирования первичных выводов, в которой овалы имеют условный радиус, равный 5, а радиальные линии представляют собой оси оценок. Пунктирами показаны своего рода конусы, сводящие компонентные рейтинги в значения суммарных рейтингов (собственно частные оценки не показаны, чтобы не загромождать рисунок, — предполагается, что это метки на радиусах, от которых отходят вверх линии «логических выводов»).

Можно обратить внимание на сходство представленной иллюстрации с конструкцией, изображенной на рис. 2.1, что свидетельствует о возможности объединения рассмотренных подходов.

Четыре основных компонента УРСИТ, определяемых так же, как основные составные части деятельности организаций в области ИТ — «Аудит», «Менеджмент», «Разработка и приобретения», «Поддержка и сопровождение», — используются для оценки так называемых «общих характеристик» функционирования организаций в части ИТ. Композитные рейтинги ИТ и каждый компонентный рейтинг определяются по шкале от 1 до 5 в нисходящем порядке по степени надзорного внимания:

1 представляет наивысший рейтинг и интерпретируется как наилучшее функционирование проверенной организации и управление в ней при достаточности наименьшего внимания со стороны надзора, тогда как 5 представляет самый низкий рейтинг и интерпретируется как наихудшее функционирование организации и управление в ней, требующее наибольшего внимания со стороны банковского надзора.

1. В части аудита рассматриваются:

— независимость;

— адекватность применяемой методики анализа риска;

— масштаб охвата;

— участие в разработках, закупках аппаратно-программных средств и т. п.;

— планирование аудиторских мероприятий;

— квалификация и компетентность специалистов;

— периодичность проведения и последующий контроль.

2. Оценка деятельности руководства кредитной организации осуществляется по следующим показателям:

— степень и качество наблюдения со стороны совета директоров и высшего руководства банка за информационными технологиями;

— планирование новых видов деятельности;

— реакция на изменяющиеся условия;

— организация внутренней отчетности и информиров