Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин

Глава 4

Особенности корпоративного управления в условиях электронного банкинга

Мой босс этого не понимал, как не понимал того, что не понимает этого.

Развитие корпоративного управления стало актуальной темой для российского банковского сообщества с начала 2000-х гг., но в отношении высокотехнологичных кредитных организаций дальше деклараций наиболее общего характера дело внедрения его принципов пока не пошло, а распространение новых банковских информационных технологий только осложнило ситуацию. Причины этого заключаются, по-видимому, и в новизне ДБО как такового, и в сложности управления работой автоматизированных систем, составляющих его основу, и в неочевидности подходов к реализации соответствующих контрольных функций руководством кредитных организаций. Как следствие затруднений с решением этих проблемных вопросов, начали реализовываться многообразные компоненты типичных банковских рисков, сопутствующих ДБО, так что кредитные организации и их клиенты стали нести достаточно ощутимые потери. Реализация рисков продолжается до сих пор, и в целом ситуация только осложняется, причем уже в международных масштабах (например, компрометация пластиковых карт). Это означает, что для парирования влияния нетривиальных источников риска требуются новые подходы к УБР, поскольку традиционные методы больше не могут считаться надежными. Это в свою очередь означает необходимость создания новых моделей корпоративного управления для новых технологий.

Несмотря на наличие двух основных документов Банка России, посвященных данной проблематике, а именно писем от 13 сентября 2005 г. № 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях» и от 7 февраля 2007 г. № 11-Т «О перечне вопросов для проведения кредитными организациями оценки состояния корпоративного управления», практическая реализация предложенных в них подходов в условиях применения систем электронного банкинга вызывает очевидные затруднения. В итоге время истинной, так сказать, «корпоративности» управления в новых условиях банковской деятельности, осуществляемой новыми же способами, пока еще не наступило. Как показывают исследования практики применения рассматриваемых технологий, основной проблемой в части корпоративного управления для многих кредитных организаций пока еще является невозможность основывать свою деятельность на детально разработанных и «технологичных» процедурах (компонентов внутрибанковских процессов) просто в силу отсутствия «готовых рецептов» управления. Поэтому в книге предлагается подход к его адаптации исходя из особенностей, которые привносятся в банковскую деятельность внедрением кредитными организациями технологий электронного банкинга и реализующих их систем, основанный на анализе принципов, описанных в упомянутых выше документах.

Внедрение кредитными организациями технологий ДБО приводит к неконтролируемому смещению профилей как минимум пяти типичных банковских рисков, вследствие чего за последние годы и наблюдалось множество случаев реализации их компонентов. В самом возникновении таких компонентов, которое оказалось, судя по всему неожиданным не только для российских кредитных организаций, но и для международного банковского сообщества, ничего удивительного нет, однако в отношении руководства кредитных организаций свою заметную негативную роль сыграл тот разрыв между традиционной интерпретацией банковской деятельности и новым ее содержанием, о котором говорилось выше. Поэтому совершенствование корпоративного управления в условиях применения технологий электронного банкинга, с точки зрения автора, необходимо именно для исключения негативных явлений такого рода. Оно является не просто насущной задачей, но процессом, жизненно необходимым для высокотехнологичных кредитных организаций. В противном случае кредитная организация окажется подвержена действию большинства сопутствующих ДБО факторов операционного, правового и репутационного риска (а в наиболее неблагоприятных случаях — и риска неплатежеспособности), что само по себе приведет к заметным финансовым потерям, а в худшем случае будет иметь место реализация стратегического риска, свидетельствующая о неготовности такой организации к переходу на ДБО, и тогда финансовые потери окажутся максимальными.

В то же время априори понятно, что внедрение новых банковских технологий, особенно таких, которые предполагают дистанционное, а значит, специфическое и отчасти анонимное обслуживание (как следствие дистанционности и отсутствия гарантий идентичности и аутентичности с обеих информационно взаимодействующих сторон), не может не являться в обязательном порядке прерогативой высшего руководства кредитной организации, поскольку любая из таких технологий может оказаться связана с возникновением множества источников (факторов) компонентов упомянутых банковских рисков. В оптимальном варианте все они должны были бы заблаговременно учитываться в кредитной организации в форме адаптации процедур выявления, анализа и оценки банковских рисков. Для каждого из них в отдельности и для всех в совокупности тому имеется ряд причин.

Во-первых, стоимость систем, реализующих ТЭБ, может быть весьма высока, и таким образом одна лишь ошибка в выборе варианта перехода к ДБО может в буквальном смысле «дорого стоить» кредитной организации. Кроме того, далеко не любая технология может оказаться легкой в использовании, а следовательно, оперативно востребованной для клиента, тем более что и уровень компьютерной грамотности среди населения нередко бывает невысок. Также существует проблема интеграции приобретаемой или разрабатываемой системы ДБО с уже действующими банковскими автоматизированными системами, наиболее часто проявляющая себя в информационных сечениях между действующими и вновь внедряемыми автоматизированными системами, а также недостаточной подготовке персонала, работающего с этими системами.

Во-вторых, не исключены, особенно в условиях бума ТЭБ (реально наблюдающегося в нашей стране), случаи применения недостаточно отлаженных, отработанных и всесторонне проверенных систем. К этому примыкает проблема подтверждения соответствия функциональных возможностей вновь внедряемых систем заявленным требованиям. Руководству кредитных организаций, использующих автоматизацию банковской деятельности как таковую (а других сегодня, скорее всего, и не существует), целесообразно по-разному организовывать процедуры приемо-сдаточных испытаний любых БАС (не только систем ДБО) в зависимости от того, разработаны они собственными специалистами (таких кредитных организаций меньшинство), созданы на заказ или приобретены «под ключ». Очевидно, что детальность функционального тестирования (как минимум) на этапе приемо-сдаточных испытаний должна повышаться от первого варианта к третьему, причем точно также растет и его сложность, поскольку работу собственных специалистов проконтролировать существенно проще, чем заниматься вылавливанием «жучков» в автоматизированных системах, внедренных сторонними организациями. Растут и требования к квалификации персонала, выполняющего процедуры такого рода.

В-третьих, не всегда имеются достаточные гарантии защищенности ТЭБ как таковых и соответствующих (реализующих и обеспечивающих их) распределенных компьютерных систем. Это относится как к обеспечению гарантий сохранения банковской тайны, так и к устойчивости к сетевым атакам, авариям, сбоям и другим неприятностям киберпространства. В этом плане целесообразно формировать политику информационной безопасности с учетом особенностей построения систем ДБО и тех зон ответственности кредитной организации, которые ей придется в итоге брать под контроль (совокупная же информация о таких зонах может иметься только у представителей руководства такой организации, которые могут «взглянуть на проблему сверху»). Адаптация этой политики в условиях существенно изменяющегося «периметра информационной безопасности» и применения новых, возможно не очень хорошо освоенных компьютерных технологий может оказаться непростым делом даже только в части ее документального оформления (описания).

В-четвертых, руководству кредитной организации целесообразно изначально задаться вопросом о возможности полноценного контроля использования ТЭБ и реализующих их компьютерных систем, равно как и сотрудников самой организации, которые будут обеспечивать их применение. Понятно, что работу любого специалиста в области информационных технологий может проконтролировать только специалист, имеющий как минимум аналогичную квалификацию (а лучше — более высокую). Отсюда и возникновение одного из оснований для принятия «принципа четырех глаз». В то же время не секрет, что реальным банком является в современных условиях не здание с надписью «Банк имярек» на фасаде, а банковская информационная система с хранилищем данных. Такая система может находиться как в этом же здании, так и в любом другом месте, например на территории провайдера, реализующего процессинг или другой аутсорсинг для кредитной организации. Вполне реально и нахождение такого провайдера вообще в нерезидентной юрисдикции, что нередко встречается при международном разделении труда. Очевидно, что в подобных ситуациях понятие «корпоративность» неизбежно расширяется, выходя за пределы самой кредитной организации. Поэтому ее руководству целесообразно быть в курсе возможных сопутствующих проблем, связанных в том числе с изменениями в профилях банковских рисков и потенциальной потребностью вернуть при необходимости выполнение функций, переданных на аутсорсинг, на свою «территорию»[85].