Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин

Там же, в разделе 4, определяется минимально необходимый состав внутрибанковских документов, в которых целесообразно постулировать основные принципы УБР, непосредственно связанные с применением ДБО. Прежде всего внимание специалистов кредитных организаций обращается на то, что целесообразно определить (описать) все технологические участки информационного контура интернет-банкинга, подлежащие учету при адаптации управления рисками банковской деятельности в новых условиях (п. 4.1). Также желательно проанализировать содержание организационного и информационного взаимодействия с клиентами и провайдерами кредитной организации, с позиций учета потенциальных источников этих рисков в случае наличия недостатков в этом содержании. Наконец, уместно оценить зависимость состава факторов и источников риска для кредитной организации от функционирования комплекса АПО ДБО. Считается, что подобный анализ позволит выделить как минимум основные потенциальные уязвимости кредитной организации, которые могут потребовать введения дополнительного управленческого контроля в обеспечение надежной банковской деятельности.

Принципиально важными в этом плане являются следующие три основных положения, которые, впрочем, могут учитываться и безотносительно организации УБР в условиях ДБО:

1) организация каждого внутрибанковского процесса должна предваряться и по мере его развития сопровождаться разработкой документов, описывающих содержание и регламентирующих данный процесс;

2) каждый внутрибанковский документ должен иметь официальный статус, определяющий место и роль конкретного документа в кредитной организации и в отношении точно определенного процесса;

3) каждый внутрибанковский документ должен быть доведен до всех участников процесса, который данный документ регламентирует и (или) описывает, при этом знание содержания каждого документа должно подтверждаться.

Что касается содержания внутрибанковских документов, в той или иной степени имеющих отношение к организации управления рисками банковской деятельности, то оно конкретизировано (не имея в виду некий «диктат» названий, но именно смысловое содержание) в части ряда основных внутрибанковских процессов, имеющих прямое отношение к проблематике ДБО (кстати, впервые в российской истории банковского регулирования).

В заключение рассмотрения Письма 36-Т важно заметить, что в его раздел 5 сведено описание состава информационных компонентов, которые руководству кредитной организации, переходящей к ДБО, целесообразно было бы включить в состав своей ПСУ, с тем чтобы гарантировать высокое качество решений, принимаемых в отношении применения ТЭБ и контроля функционирования соответствующей СЭБ. Естественно, списки информационных компонентов, приведенные в каждом из подразделов, кредитная организация должна «примерить на себя», чтобы обеспечивалась необходимая ей ППР. На таких принципах, кстати сказать, строятся как системы ППР, так и так называемые «экспертные системы», используемые в банковской деятельности и в банковском контроле за рубежом.

Для оценки состояния УБР и качества реализующего его внутрибанковского процесса (или степени развития, как это определено в главе 3 этой книги) может быть использована простая рейтинговая система, популярная в Западной Европе, в соответствии с которой установлены следующие градации (оценки степени развития от 1 до 5, сверху вниз):

1-й, низший уровень устанавливается в том случае, если официально принятого в кредитной организации подхода к УБР не существует, т. е. соответствующий процесс как таковой отсутствует. Такая ситуация свойственна практически всем малым кредитным организациям и многим средним. На 2-м уровне представление об исках и их основных видах существует, однако систематический подход к УБР отсутствует и, как это часто бывает, проблемы не предвидятся, а «решаются» по мере их возникновения. При этом нет и устоявшихся подходов к поиску подобных решений, так что ситуация с процессом УБР такая же, как в первом случае. Уровень 3 означает, что в организации имеются документы, содержащие определения банковских рисков, и они доведены до ее персонала, при этом могут делаться попытки установить границы или уровни допустимых рисков. В то же время систематический подход отсутствует в том плане, что результаты УБР зависят от ответственных за процесс сотрудников, а руководящая роль высшего менеджмента «не ощущается». На уровне 4 подход к УБР разработан и реализуется в форме типовых схем предупреждения появления источников компонентов банковских рисков, их выявления и компенсации негативного влияния. Тем не менее этот подход внедрен не во все внутрибанковские процессы, из-за чего отдельные инциденты время от времени происходят, но после их ликвидации принимаются корректирующие меры в отношении тех или иных внутрибанковских процессов. Наконец, 5-й уровень характеризуется наличием развитой системы УБР, которая внедрена на базе процесса ВК во все внутрибанковские процессы через службу внутреннего контроля (СВК). При этом реализована модель пруденциальной организации УБР с использованием превентивного анализа и упреждающей адаптации внутрибанковских процессов при внедрении новых банковских информационных технологий, а также оценкой эффективности этого процесса.

Для российских кредитных организаций типичным пока что является уровень 3, хотя некоторые крупные, работающие в течение длительного времени, организации приближаются к 4-му уровню. То же самое можно сказать о дочерних кредитных организациях зарубежных коммерческих банков, хотя в них ситуация двоякая: обычно внедрены документы головной организации, но реализация их пока отстает. По аналогии с градациями процессного подхода можно было бы предложить и 6-й уровень, имея в виду внедрение автоматизированных процедур для УБР и соответственно постоянного совершенствования этого процесса, однако, такое описание явно преждевременно.

В рекомендациях[127] органов банковского регулирования и надзора США (в частности ОСС) описана система оценивания рисков[128], которая предназначена для использования инспекторами, проверяющими коммерческие банки, и которая может быть использована в тех же целях службами внутреннего контроля и аудита самих банков’. Считается, что она позволяет единообразно оценивать девять основных банковских рисков (о которых шла речь в главе 2), а также определять, в каких случаях типовые процедуры оценивания уровней рисков следует расширить. Для большинства из этих рисков (за исключением репутационного и стратегического) рекомендуется оценивать так называемое «количество риска» (quantity of risk), качество управления риском (quality of risk management), уровень агрегированного риска (aggregate risk) и тенденцию изменения риска (direction of risk). Эта система была разработана для содействия инспекторам в определении степени рискованности банковской деятельности и принятии решений относительно степени и вида перспективного «надзорного внимания» к коммерческим банкам. В рамках этой системы профиль риска банка формируется по следующим «четырем измерениям», каждое из которых влияет на стратегию надзора (в данном случае ВК).

Количество риска — это уровень или масштаб того риска, который банк принимает на себя, и характеризуется как низкий (low), средний (moderate) или высокий (high)[129].

Качество управления риском — это оценка того, насколько хорошо риски идентифицируются, измеряются, управляются и контролируются, она характеризуется такими понятиями, как высокое (strong), среднее (satisfactory) и низкое (weak).

Агрегированный риск — это итоговая оценка относительно степени надзорного (контрольного) внимания. В нее входят суждения относительно количества риска и качества управления риском (инспектора присваивают весовые оценки каждому из них). Такой риск оценивается как низкий (low), средний (moderate) или высокий (high).

Тенденция изменения риска — это возможное изменение агрегированного уровня риска в течение следующих 12 месяцев, она характеризуется как снижение, стабильность или возрастание. Если уровень риска оценивается как снижающийся, то инспектор (читай — ВК) предполагает снижение уровня агрегированного риска в течение следующих 12 месяцев. Если уровень риска стабильный, то инспектор предполагает, что агрегированный риск останется неизменным. Если уровень риска возрастает, то инспектор предполагает повышение агрегированного риска в течение следующих 12 месяцев.

В качестве примера итогового оценивания уровней банковских рисков инспекторами, проверяющими коммерческие банки, можно привести таблицу из Community Bank Supervision. Comptroller's Handbook. ЕР-CBS, в которой объединены экспертные заключения относительно ситуации с операционным риском (табл. 5.1; в заголовках столбцов показаны оценки уровня риска, под ними — выводы, лежащие в их основе; стилистика формулировок и терминология сохранены)[130].