5.1. Адаптация внутрибанковского документарного обеспечения
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43
Приведение содержания внутрибанковских документов в соответствие с новыми условиям функционирования кредитной организации и особенностями ДБО до настоящего времени представляет серьезную проблему обеспечения надежной банковской деятельности высокотехнологичных кредитных организаций прежде всего потому, что руководство многих таких организаций «не чувствует» необходимости в этом, а также из-за нехватки специалистов, способных такую адаптацию осуществить. Эта проблема типична для крупных кредитных организаций, которые имеют развитые ИТ и документарное обеспечение банковской деятельности, которое описывает в том числе как внутрибанковские процессы, так и связи между реализующими их структурными подразделениями. Содержание того и другого подлежит модернизации при внедрении первой же ТЭБ, а затем и других технологий такого рода. В то же время во многих документах БКБН, в которых рассматриваются меры по обеспечению этой надежности, акцент всегда делается на том, что при любых инновациях в первую очередь следует обеспечивать указанное соответствие, поскольку от этого прямо зависят качество работы персонала кредитной организации, использование ее автоматизированных систем и эффективность деятельности в целом: и то, и другое, и третье целесообразно рассматривать с позиций своевременной и адекватной оптимизации (до того, как начнет сказываться влияние неучтенных источников компонентов банковских рисков, наличием которых определяется «степень адекватности» УБР и других внутрибанковских процессов).
Своевременная и отвечающая новым формируемым условиям адаптация документарного обеспечения кредитной организации важна по многим причинам, начиная с разработки и доведения до персонала информации о внедрении новых информационных технологий, продолжая его переподготовкой в связи с использованием новой БАС и (или) СЭБ и заканчивая изменениями структуры самой организации, ротацией персонала и текучкой кадров. Главное здесь — гарантировать соответствие должностных инструкций и руководств пользователя (оператора, операциониста, клиента) порядкам и правилам эксплуатации банковских автоматизированных систем, включая этапы их сопровождения и модернизации.
В этой главе не предлагается радикально новое содержание внутрибанковских документов типа положений о структурных подразделениях кредитной организации, но перечисляются основные новые и содержательно модернизируемые функции, описания и порядок выполнения которых логично включать в такие положения в связи с внедрением кредитной организацией новой ТЭБ. Такие изменения, в общем случае, уместно «увязывать» с каждым фактом внедрения той или иной новой технологии, связанной с банковской деятельностью, равно как и возникновением новых угроз надежности банковской деятельности и компонентов типичных банковских рисков (описываемых в документах по УБР).
Изменения внутрибанковских порядков и условий реализации процессов, как подчеркивает БКБН, должны инициироваться советом директоров и высшим менеджментом кредитной организации. Соответственно внутренние документы, которыми регламентируется функционирование органов управления и (или) исполнительных органов кредитной организации, должны содержать положения об этой их ролевой функции и указание условий, в которых эта функция должна инициироваться и выполняться. Внедрение ТЭБ — тот самый случай, который «запускает» очередной виток ЖЦ документарного обеспечения банковской деятельности. Состав изменяемых внутрибанковских документов определяется приведенным выше перечнем внутрибанковских процессов, который целесообразно точно указывать в описаниях указанных функций, чтобы даже при радикальных изменениях в «высшем эшелоне» руководства с выполнением таких функций не возникало неясностей (в отечественной банковской практике зачастую наблюдается обратное). Все мероприятия (в оптимальном варианте) инициируются, сопровождаются и контролируются высшим менеджментом кредитной организации (этапы <-> результаты) и доводятся до ее совета директоров и наблюдательного совета (рис. 5.1).
Кратко приведенную схему можно прокомментировать следующим образом. На этапе принятия базовых решений относительно внедрения ТЭБ следует (в соответствии с подходом БКБН) обеспечить:
— подготовку ТЭО и сопутствующих исходных данных на проект;
— коллегиальное принятие решений относительно варианта ТЭБ;
— сопоставление ДБО со стратегическими целями кредитной организации;
— определение необходимой ресурсной базы для реализации проекта СЭБ;
— подготовку проектной документации на СЭБ и ее интеграцию с БАС;
— согласование проекта с заинтересованными подразделениями;
— распределение ответственности и обязанностей в отношении проекта;
— привлечение к проекту персонала необходимой квалификации;
— полное документирование принятых решений по проекту;
— ознакомление с проектной документацией всех исполнителей.
Необходимо отметить, что принятые решения должны (опять-таки в оптимальном варианте организации работы) фиксироваться во всех иерархических «линейках» внутрибанковских документов: от распорядительных по характеру до должностных инструкций, предназначенных для ответственных исполнителей в кредитной организации (для этого целесообразно утвердить соответствующий распорядительный документ, который может и не быть акцентирован именно на ТЭБ и СЭБ, но «охватывать» и их применение). Только такой подход может в значительной степени гарантировать эффективность выполнения принятых решений и обеспечить требуемые функциональные характеристики автоматизированных систем (влияние человеческого фактора парируется эффективным «управленческим наблюдением» — в терминологии БКБН). При этом основные руководящие решения целесообразно обсуждать со специалистами, участвующими в перечисленных выше процессах, с точки зрения реализуемости и адекватности выполнения ими своих функций.
При таком подходе очередной виток ЖЦ документарного обеспечения банковской деятельности инициируется в кредитной организации еще до принятия решения о переходе к практической реализации проекта внедрения ТЭБ, поскольку без подготовительной работы не обойтись. При этом необходимо располагать перечнем входящих в его состав документов, первичное составление которого является наиболее трудоемким процессом, который несколько упрощается, если известен перечень подлежащих модернизации внутрибанковских процессов. Однако, какой бы сложной она ни казалась, удержать уровни банковских рисков в допустимых границах без ее решения крайне трудно (если вообще возможно), поскольку тогда негативное влияние человеческого фактора неизбежно.
Главное, что при этом целесообразно осознавать безусловное влияние любой ТЭБ на изменение состава и характера проявления многих источников компонентов банковских рисков, которые необходимо учитывать при организации УБР и для предотвращения которых существуют сами внутрибанковские процессы. Такое понимание в связи с переходом кредитной организации к ДБО на практике встречается редко. В то же время очевидно, что в отсутствие угроз надежности банковской деятельности, в безрисковой ситуации ни ОИБ, ни ФМ, ни ВК, ни другие внутрибанковские процессы не понадобились бы, тем не менее в банковской деятельности неизбежным и непростым связям между ними внимания уделяется незаслуженно мало (видимо потому, что реализующие их структурные подразделения кредитных организаций традиционно относят к так называемым «не зарабатывающим», не думая о том, что «зарабатывать» вообще позволяет именно эффективное парирование ими угроз, ассоциируемых с источниками тех самых компонентов).
Из сказанного можно сделать краткие выводы относительно изменений в характере и содержании упоминавшихся внутрибанковских процессов в кредитной организации, относящихся к осуществлению их регламентной циклической адаптации для приведения в соответствие тем условиям банковской деятельности, которые образуются с внедрением ТЭБ.
1. Для документарного обеспечения требуется составление документов более высокого, «общебанковского» уровня, в которых описывалась бы эта адаптация и указывались те внутрибанковские процессы и структурные подразделения кредитной организации, для которых разрабатывались бы новые редакции действующих документов. При этом на уровне мета-процесса предусматривается потенциальное возникновение необходимости в разработке новых, отсутствовавших до внедрения ТЭБ компонентов этого обеспечения.
2. Процесс УБР необходимо пересматривать ввиду появления большого числа не существовавших ранее источников компонентов банковских рисков, для воздействия на которые требуются новые процедуры, поддерживаемые рядом подразделений кредитной организации. На уровне мета-процесса формируются дополнительные схемы и механизмы взаимодействия между ними и предусматриваются дополнительные процедуры и функции в работе этих подразделений, ориентированные на подавление влияния таких источников.
3. Подразделение ИТ кредитной организации должно осваивать новую информационную технологию и СЭБ, реализующую внедряемую ТЭБ, обеспечивая то и другое в части аппаратно-программных средств (с учетом резервирования и ОИБ) и новой технической документации, включая руководства для клиентов ДБО и персонала подразделений организации. При этом учитывается необходимость повышения квалификации персонала, участие в составлении текстов договоров на ДБО и взаимодействия с провайдерами.
4. Служба ОИБ должна предусмотреть дополнительные меры по защите банковских автоматизированных систем кредитной организации и формированию ее периметра безопасности, включая внесение изменений в документы по ОИБ, внедрение соответствующего АЛО и разработку новых внутрибанковских документов, а также участие в составлении текстов договоров на ДБО и взаимодействии с провайдерами. Совместно со службами ИТ и ВК разрабатываются дополнительные программы и методики проверок ОИБ.
5. Служба ВК должна обеспечить наличие совокупной квалификации, необходимой для контроля использования и функционирования новой АС в кредитной организации, освоить внедряемую ТЭБ, разработать дополнительные программы и методики проверок, включая контроль процесса УБР, и формы отчетов для руководства, а совместно со службами ИТ и ОИБ — программы и методики проверок, контроля над провайдерами и SLA, планами действий на случай чрезвычайных обстоятельств, а также текстов договоров на ДБО.
6. Необходим учет особенностей электронного банкинга в документах кредитной организации, относящихся к ФМ или, как чаще говорят, «противодействию отмыванию денег и финансированию терроризма» (ПОД/ФТ)[106], равно как и модернизация самого этого процесса с участием служб ИТ, ВК, экономической безопасности и юридического обеспечения банковской деятельности. При этом предусматривается разработка новых процедур взаимодействия с клиентами в соответствии с требованиями Банка России.
7. Модернизация юридического обеспечения банковской деятельности кредитной организации должна охватывать приобретение новой квалификации, связанной с особенностями внедряемой ТЭБ, участие в составлении текстов договоров с клиентами ДБО и провайдерами, приведение внутрибанковского документарного обеспечения в соответствие с новыми условиями банковской деятельности, а комплайенс-контроля и претензионной работы — с применением СЭБ (совместно со службами ИТ, ОИБ и ВК/ФМ).
8. Необходимо совершенствование взаимодействия сервис-центра кредитной организации с клиентами ДБО за счет освоения его сотрудниками содержания и условий обеспечения нового направления банковской деятельности и формирования механизмов получения ими от других структурных подразделений информации о функционировании СЭБ в ее связи с БАС, а также дополнительного направления претензионной работы в связи с возможными спорными или конфликтными ситуациями, включая SLA с провайдерами.
9. Планы действий на случай чрезвычайных обстоятельств необходимо дополнить разделом, описывающим новые возможные угрозы надежности банковской деятельности, обусловленные форс-мажорными и другими ситуациями, которые могут привести к прерыванию ДБО, нарушению целостности, доступности или конфиденциальности банковских и клиентских данных, а также порядком восстановления функционирования СЭБ в ее связи с БАС кредитной организации, включая информирование клиентов об инцидентах.
10. Должно быть организовано взаимодействие с провайдерами с определением SIAh анализом в кредитной организации возникающих зависимостей, которые также следует описывать как в части управления сопутствующими компонентами банковских рисков, так и в части принятия мер по предупреждению их реализации и по резервированию аутсорсинга с учетом обеспечения возможностей перехода в чрезвычайных ситуациях на резервные средства и предоставления клиентам ДБО резервных вариантов взаимодействия.
Руководство успешной высокотехнологичной кредитной организации не может не осознавать значимости документарного обеспечения меняющейся, технологически и технически усложняющейся банковской деятельности. По существу, в ходе пересмотра содержания внутрибанковских документов и адаптации их к новым условиям руководством кредитной организации одновременно решаются задачи адаптации общебанковских процессов управления к применению новой банковской информационной технологии и контроля ее использования персоналом данной организации и ее клиентами, пользующимися ДБО. Важно подчеркнуть, кстати, что оценка уровней (качества) обоих этих процессов (менеджмента в целом) представителями контролирующих органов чаще и прежде всего основывается на результатах оценки степени соответствия документарного обеспечения кредитной организации содержанию, характеру и масштабам ее банковской деятельности. В интересах руководства такой организации для получения положительного «мотивированного заключения» относительно качества ее корпоративного управления (по результатам изучения организации ее деятельности) необходимо внимательно относиться к содержанию внутрибанковской документации, своевременно обновляя ее при внедрении очередной ТЭБ для ДБО.
Приведение содержания внутрибанковских документов в соответствие с новыми условиям функционирования кредитной организации и особенностями ДБО до настоящего времени представляет серьезную проблему обеспечения надежной банковской деятельности высокотехнологичных кредитных организаций прежде всего потому, что руководство многих таких организаций «не чувствует» необходимости в этом, а также из-за нехватки специалистов, способных такую адаптацию осуществить. Эта проблема типична для крупных кредитных организаций, которые имеют развитые ИТ и документарное обеспечение банковской деятельности, которое описывает в том числе как внутрибанковские процессы, так и связи между реализующими их структурными подразделениями. Содержание того и другого подлежит модернизации при внедрении первой же ТЭБ, а затем и других технологий такого рода. В то же время во многих документах БКБН, в которых рассматриваются меры по обеспечению этой надежности, акцент всегда делается на том, что при любых инновациях в первую очередь следует обеспечивать указанное соответствие, поскольку от этого прямо зависят качество работы персонала кредитной организации, использование ее автоматизированных систем и эффективность деятельности в целом: и то, и другое, и третье целесообразно рассматривать с позиций своевременной и адекватной оптимизации (до того, как начнет сказываться влияние неучтенных источников компонентов банковских рисков, наличием которых определяется «степень адекватности» УБР и других внутрибанковских процессов).
Своевременная и отвечающая новым формируемым условиям адаптация документарного обеспечения кредитной организации важна по многим причинам, начиная с разработки и доведения до персонала информации о внедрении новых информационных технологий, продолжая его переподготовкой в связи с использованием новой БАС и (или) СЭБ и заканчивая изменениями структуры самой организации, ротацией персонала и текучкой кадров. Главное здесь — гарантировать соответствие должностных инструкций и руководств пользователя (оператора, операциониста, клиента) порядкам и правилам эксплуатации банковских автоматизированных систем, включая этапы их сопровождения и модернизации.
В этой главе не предлагается радикально новое содержание внутрибанковских документов типа положений о структурных подразделениях кредитной организации, но перечисляются основные новые и содержательно модернизируемые функции, описания и порядок выполнения которых логично включать в такие положения в связи с внедрением кредитной организацией новой ТЭБ. Такие изменения, в общем случае, уместно «увязывать» с каждым фактом внедрения той или иной новой технологии, связанной с банковской деятельностью, равно как и возникновением новых угроз надежности банковской деятельности и компонентов типичных банковских рисков (описываемых в документах по УБР).
Изменения внутрибанковских порядков и условий реализации процессов, как подчеркивает БКБН, должны инициироваться советом директоров и высшим менеджментом кредитной организации. Соответственно внутренние документы, которыми регламентируется функционирование органов управления и (или) исполнительных органов кредитной организации, должны содержать положения об этой их ролевой функции и указание условий, в которых эта функция должна инициироваться и выполняться. Внедрение ТЭБ — тот самый случай, который «запускает» очередной виток ЖЦ документарного обеспечения банковской деятельности. Состав изменяемых внутрибанковских документов определяется приведенным выше перечнем внутрибанковских процессов, который целесообразно точно указывать в описаниях указанных функций, чтобы даже при радикальных изменениях в «высшем эшелоне» руководства с выполнением таких функций не возникало неясностей (в отечественной банковской практике зачастую наблюдается обратное). Все мероприятия (в оптимальном варианте) инициируются, сопровождаются и контролируются высшим менеджментом кредитной организации (этапы <-> результаты) и доводятся до ее совета директоров и наблюдательного совета (рис. 5.1).
Кратко приведенную схему можно прокомментировать следующим образом. На этапе принятия базовых решений относительно внедрения ТЭБ следует (в соответствии с подходом БКБН) обеспечить:
— подготовку ТЭО и сопутствующих исходных данных на проект;
— коллегиальное принятие решений относительно варианта ТЭБ;
— сопоставление ДБО со стратегическими целями кредитной организации;
— определение необходимой ресурсной базы для реализации проекта СЭБ;
— подготовку проектной документации на СЭБ и ее интеграцию с БАС;
— согласование проекта с заинтересованными подразделениями;
— распределение ответственности и обязанностей в отношении проекта;
— привлечение к проекту персонала необходимой квалификации;
— полное документирование принятых решений по проекту;
— ознакомление с проектной документацией всех исполнителей.
Необходимо отметить, что принятые решения должны (опять-таки в оптимальном варианте организации работы) фиксироваться во всех иерархических «линейках» внутрибанковских документов: от распорядительных по характеру до должностных инструкций, предназначенных для ответственных исполнителей в кредитной организации (для этого целесообразно утвердить соответствующий распорядительный документ, который может и не быть акцентирован именно на ТЭБ и СЭБ, но «охватывать» и их применение). Только такой подход может в значительной степени гарантировать эффективность выполнения принятых решений и обеспечить требуемые функциональные характеристики автоматизированных систем (влияние человеческого фактора парируется эффективным «управленческим наблюдением» — в терминологии БКБН). При этом основные руководящие решения целесообразно обсуждать со специалистами, участвующими в перечисленных выше процессах, с точки зрения реализуемости и адекватности выполнения ими своих функций.
При таком подходе очередной виток ЖЦ документарного обеспечения банковской деятельности инициируется в кредитной организации еще до принятия решения о переходе к практической реализации проекта внедрения ТЭБ, поскольку без подготовительной работы не обойтись. При этом необходимо располагать перечнем входящих в его состав документов, первичное составление которого является наиболее трудоемким процессом, который несколько упрощается, если известен перечень подлежащих модернизации внутрибанковских процессов. Однако, какой бы сложной она ни казалась, удержать уровни банковских рисков в допустимых границах без ее решения крайне трудно (если вообще возможно), поскольку тогда негативное влияние человеческого фактора неизбежно.
Главное, что при этом целесообразно осознавать безусловное влияние любой ТЭБ на изменение состава и характера проявления многих источников компонентов банковских рисков, которые необходимо учитывать при организации УБР и для предотвращения которых существуют сами внутрибанковские процессы. Такое понимание в связи с переходом кредитной организации к ДБО на практике встречается редко. В то же время очевидно, что в отсутствие угроз надежности банковской деятельности, в безрисковой ситуации ни ОИБ, ни ФМ, ни ВК, ни другие внутрибанковские процессы не понадобились бы, тем не менее в банковской деятельности неизбежным и непростым связям между ними внимания уделяется незаслуженно мало (видимо потому, что реализующие их структурные подразделения кредитных организаций традиционно относят к так называемым «не зарабатывающим», не думая о том, что «зарабатывать» вообще позволяет именно эффективное парирование ими угроз, ассоциируемых с источниками тех самых компонентов).
Из сказанного можно сделать краткие выводы относительно изменений в характере и содержании упоминавшихся внутрибанковских процессов в кредитной организации, относящихся к осуществлению их регламентной циклической адаптации для приведения в соответствие тем условиям банковской деятельности, которые образуются с внедрением ТЭБ.
1. Для документарного обеспечения требуется составление документов более высокого, «общебанковского» уровня, в которых описывалась бы эта адаптация и указывались те внутрибанковские процессы и структурные подразделения кредитной организации, для которых разрабатывались бы новые редакции действующих документов. При этом на уровне мета-процесса предусматривается потенциальное возникновение необходимости в разработке новых, отсутствовавших до внедрения ТЭБ компонентов этого обеспечения.
2. Процесс УБР необходимо пересматривать ввиду появления большого числа не существовавших ранее источников компонентов банковских рисков, для воздействия на которые требуются новые процедуры, поддерживаемые рядом подразделений кредитной организации. На уровне мета-процесса формируются дополнительные схемы и механизмы взаимодействия между ними и предусматриваются дополнительные процедуры и функции в работе этих подразделений, ориентированные на подавление влияния таких источников.
3. Подразделение ИТ кредитной организации должно осваивать новую информационную технологию и СЭБ, реализующую внедряемую ТЭБ, обеспечивая то и другое в части аппаратно-программных средств (с учетом резервирования и ОИБ) и новой технической документации, включая руководства для клиентов ДБО и персонала подразделений организации. При этом учитывается необходимость повышения квалификации персонала, участие в составлении текстов договоров на ДБО и взаимодействия с провайдерами.
4. Служба ОИБ должна предусмотреть дополнительные меры по защите банковских автоматизированных систем кредитной организации и формированию ее периметра безопасности, включая внесение изменений в документы по ОИБ, внедрение соответствующего АЛО и разработку новых внутрибанковских документов, а также участие в составлении текстов договоров на ДБО и взаимодействии с провайдерами. Совместно со службами ИТ и ВК разрабатываются дополнительные программы и методики проверок ОИБ.
5. Служба ВК должна обеспечить наличие совокупной квалификации, необходимой для контроля использования и функционирования новой АС в кредитной организации, освоить внедряемую ТЭБ, разработать дополнительные программы и методики проверок, включая контроль процесса УБР, и формы отчетов для руководства, а совместно со службами ИТ и ОИБ — программы и методики проверок, контроля над провайдерами и SLA, планами действий на случай чрезвычайных обстоятельств, а также текстов договоров на ДБО.
6. Необходим учет особенностей электронного банкинга в документах кредитной организации, относящихся к ФМ или, как чаще говорят, «противодействию отмыванию денег и финансированию терроризма» (ПОД/ФТ)[106], равно как и модернизация самого этого процесса с участием служб ИТ, ВК, экономической безопасности и юридического обеспечения банковской деятельности. При этом предусматривается разработка новых процедур взаимодействия с клиентами в соответствии с требованиями Банка России.
7. Модернизация юридического обеспечения банковской деятельности кредитной организации должна охватывать приобретение новой квалификации, связанной с особенностями внедряемой ТЭБ, участие в составлении текстов договоров с клиентами ДБО и провайдерами, приведение внутрибанковского документарного обеспечения в соответствие с новыми условиями банковской деятельности, а комплайенс-контроля и претензионной работы — с применением СЭБ (совместно со службами ИТ, ОИБ и ВК/ФМ).
8. Необходимо совершенствование взаимодействия сервис-центра кредитной организации с клиентами ДБО за счет освоения его сотрудниками содержания и условий обеспечения нового направления банковской деятельности и формирования механизмов получения ими от других структурных подразделений информации о функционировании СЭБ в ее связи с БАС, а также дополнительного направления претензионной работы в связи с возможными спорными или конфликтными ситуациями, включая SLA с провайдерами.
9. Планы действий на случай чрезвычайных обстоятельств необходимо дополнить разделом, описывающим новые возможные угрозы надежности банковской деятельности, обусловленные форс-мажорными и другими ситуациями, которые могут привести к прерыванию ДБО, нарушению целостности, доступности или конфиденциальности банковских и клиентских данных, а также порядком восстановления функционирования СЭБ в ее связи с БАС кредитной организации, включая информирование клиентов об инцидентах.
10. Должно быть организовано взаимодействие с провайдерами с определением SIAh анализом в кредитной организации возникающих зависимостей, которые также следует описывать как в части управления сопутствующими компонентами банковских рисков, так и в части принятия мер по предупреждению их реализации и по резервированию аутсорсинга с учетом обеспечения возможностей перехода в чрезвычайных ситуациях на резервные средства и предоставления клиентам ДБО резервных вариантов взаимодействия.
Руководство успешной высокотехнологичной кредитной организации не может не осознавать значимости документарного обеспечения меняющейся, технологически и технически усложняющейся банковской деятельности. По существу, в ходе пересмотра содержания внутрибанковских документов и адаптации их к новым условиям руководством кредитной организации одновременно решаются задачи адаптации общебанковских процессов управления к применению новой банковской информационной технологии и контроля ее использования персоналом данной организации и ее клиентами, пользующимися ДБО. Важно подчеркнуть, кстати, что оценка уровней (качества) обоих этих процессов (менеджмента в целом) представителями контролирующих органов чаще и прежде всего основывается на результатах оценки степени соответствия документарного обеспечения кредитной организации содержанию, характеру и масштабам ее банковской деятельности. В интересах руководства такой организации для получения положительного «мотивированного заключения» относительно качества ее корпоративного управления (по результатам изучения организации ее деятельности) необходимо внимательно относиться к содержанию внутрибанковской документации, своевременно обновляя ее при внедрении очередной ТЭБ для ДБО.