5.5. Адаптация внутреннего контроля
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43
Такой вид деятельности, как внутренний контроль, исторически складывался в качестве механизма выявления и предотвращения случаев мошенничества или хищений, а также ошибок. Однако к настоящему времени сфера его применения существенно расширилась, охватывая разнообразные риски, связанные с банковской деятельностью кредитных организаций, а все перечисленное выше постепенно становится прерогативой формирующегося процесса ФМ (пока еще считающегося специализированной процедурой — компонентом процесса ВК). Изменение характера банковской деятельности, выражающееся в интенсивном использовании ДБО, разных вариантов ИКБД и обширных зональных сетей банкоматов и платежных терминалов, неизбежно приводит к необходимости включения в состав процесса ВК новых процедур, предназначенных для учета в процессе УБР возникновения новых угроз надежности банковской деятельности. Тем не менее многие отечественные кредитные организации, стремящиеся расширять спектр услуг ДБО, не успевают адаптировать к ним свой ВК ни как работу специальной службы, ни как функционирование СВК, что препятствует эффективному парированию таких угроз и поддержанию контроля со стороны руководства кредитной организации над смещениями ее профиля риска.
Во многих материалах зарубежных органов банковского регулирования и надзора отмечается, что новации в сфере ИТ, трансграничная банковская деятельность и глобализация финансовых рынков способствуют существенному повышению вероятности реализации системных рисков, т. е. проявлению их на уровне банковского сектора. Особенно озабоченность качеством ВК в различных организациях характерна для США, где для обеспечения адекватности контрольных функций такого рода были даже приняты специальные федеральные законы, известные по фамилиям их создателей как акты Грэма-Лич-Блайли и Сарбанеса-Оксли[155]. В первом из них акцент сделан на контроле обеспечения конфиденциальности и целостности клиентской информации, во втором — на корпоративной ответственности, контроле достоверности финансовой информации и аудите систем ВК. В обоих законодательных актах серьезное внимание обращалось на адекватность и эффективность систем и средств ВК в части применения ИТ и корпоративных систем управления рисками.
В этих актах нашло отражение осознание значимости ИТ для современных учреждений разного рода и того, что сами эти технологии формируют условия и для внедрения новых способов управления рисками, и для ВК, отвечающего за мониторинг процедур выявления, анализа банковских рисков и управления ими. Технологии ВК вместе с реализующими ее методами и средствами устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, что означает потребность в их модернизации. Вследствие этого процесс ВК, акцентированный на применении ИТ, становится неотъемлемой частью всей инфраструктуры кредитной организации (при этом считается, кстати, что расходы на его обеспечение целесообразно определять исходя из возможностей парирования финансовых потерь, обусловленных реализацией банковских рисков, особенно это справедливо в усложнившихся условиях использования ДБО). Важно подчеркнуть, что ролевые функции в составе процесса ВК, во-первых, стали распределяться между подразделениями современных кредитных организаций, во-вторых, существенно усложнились ввиду перемещения процедур бухгалтерского учета и подготовки банковской отчетности в виртуальное пространство, значительного расширения тематику ОИБ с возникновением ранее отсутствовавших проблем, ростом значимости адекватного решения вопросов ФМ и т. д.
Однако даже это принципиальное усложнение состава задач службы ВК их состав не исчерпывает. Дело в том, что в современных технологиях ДБО велика роль провайдеров кредитных организаций, от которых, как уже отмечалось, во многом зависит надежность банковской деятельности — в восприятии удаленных клиентов; да и для самих этих организаций надежность провайдеров с точки зрения обеспечения гарантий уровня обслуживания часто бывает критично важной. В то же время вопросы контроля надежности провайдеров, определения требований к взаимоотношениям кредитных организаций с провайдерами, управления этими отношениями со стороны первых, оценки уровня обслуживания и ряд других остаются неурегулированными в законодательном плане[156]. Необходимо осознание руководством кредитной организации того, что внедрение технологий электронного банкинга радикально изменяет (расширяет) содержание внутреннего контроля, так что если он не подвергнется модернизации, то кредитные организации вряд ли смогут аргументированно доказать его адекватность изменившимся условиям осуществления ВК.
Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве[157].
В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.
Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:
выполнение банковских операций и сделок;
подготовка регламентной банковской отчетности;
оценка соответствия установленным требованиям.
Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLA с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.
Таким образом, для адаптации процесса ВК, как неотъемлемой составляющей банковской деятельности, целесообразно известное переосмысление, в отношении конкретных процедур, составляющих этот процесс и определяемых требованиями оптимизации ППР в части УБР электронного банкинга. Тем более что ни БКБН, ни другие зарубежные органы банковского регулирования и надзора не предлагают новых материалов, которые устанавливали бы прямые связи между особенностями ВК при использовании современных банковских информационных технологий. В анализировавшемся выше материале БКБН[158], посвященном принципам управления рисками при электронном банкинге, упоминалось, что для обеспечения эффективного ВК над ТЭБ нужен постоянный адекватный контроль со стороны руководства кредитной организации и что один из важнейших принципов ВК — это разделение обязанностей. Во введении к не рассматриваемому здесь и более раннему, а потому уже не во всем актуальному руководству по этой же теме было сказано, что «…эффективные средства внутреннего контроля являются критичным компонентом банковского менеджмента и основой безопасного и надежного функционирования банковских организаций». При этом, впрочем, не было определено понятие эффективности и не обосновывалась значимость ВК как такового для безопасной и надежной банковской деятельности кредитных организаций. Несмотря на важность перечисленных в упомянутой работе положений, их все-таки недостаточно для имеющего прикладное значение анализа изменений в ВК, связанных с ТЭБ.
Тем не менее основания для методических разработок, адаптирующих ВК к переходу к ДБО, можно найти, если попытаться интерпретировать разработки зарубежных органов банковского регулирования и надзора в области ВК, в частности материалы БКБН, с позиций учета состава и влияния факторов возникновения дополнительных компонентов банковских рисков, ассоциируемых с ДБО, а также специфики возникновения и проявления источников этих компонентов. В последний раз БКБН в своих публикациях уделял внимание принципам организации и осуществления ВК в кредитных организациях в 1998 г.[159] С тех пор каких-либо новых рекомендаций по этой тематике в адрес кредитных организаций не поступало, несмотря на то что за прошедшие годы в банковской сфере произошли значительные изменения, особенно в части сервисных технологий банковской деятельности, основывающихся на разнообразном АПО ДБО. Как бы то ни было, упомянутый материал, обрисовывающий общую схему ВК в кредитной организации, вполне пригоден для интерпретации в отношении электронного банкинга.
Рассматриваемая работа (далее — Рекомендации) была ориентирована, как заявлялось, на «совершенствование банковского надзора с помощью рекомендаций, способствующих надежному управлению рисками». В ней была определена общая схема оценивания органом банковского надзора СВК кредитной организации, а фактически — модель СВК, признаваемая этим органом, которая базировалась на 13 принципах, предназначенных для использования как при совершенствовании банковского надзора, так и при оценивании системы ВК кредитной организации. Как было сказано во введении к этому материалу, «эти принципы имеют общий характер, и органам надзора следует использовать их при оценке своих собственных методов и процедур надзора для мониторинга организации банками своих систем внутреннего контроля». Одновременно однозначно указывалось на то, что «данные принципы предоставят полезную схему для эффективного надзора за системами внутреннего контроля». Таким образом, очевидно, что назначение принципов изначально полагалось двояким.
Постулировалось также, что в этом материале «описаны безусловно необходимые компоненты надежной системы внутреннего контроля», хотя в явной форме эти компоненты не предлагались банкам как обязательные для реализации. Следует, кстати, отметить, что однозначных предложений такого рода в документах БКБН вообще не встречается, и разговор обычно ведется с позиций пруденциальной организации внутрибанковских процессов, систем и процедур, реализуемых такими системами, и так называемой «лучшей практики» (без ее определения, естественно). Учитывая «надзорный» характер работы службы ВК в кредитной организации, легко прийти к заключению о пригодности рассматриваемых рекомендаций и их интерпретации для определения содержания процесса ВК в высокотехнологичной кредитной организации.
Можно заметить, что БКБН изначально строит свои Рекомендации так, как будто организация и содержание деятельности СВК в кредитных организациях совершенно не зависят от того, какие именно банковские информационные технологии ими применяются. С этим вполне можно было бы согласиться, но только в случае рассмотрения проблематики ВК с самых общих позиций. В то же время, находясь на таких позициях, в условиях ДБО невозможно определить не только четкие требования к внутрибанковским процессам и процедурам, так или иначе связанным с ВК, но даже пути и подходы к их организации, не говоря уже о такой «конкретике», как, например, квалификационные требования к персоналу СВК, его профессиональной подготовке и к сопровождению ДБО. В рассматриваемом материале прямо сказано, что «данное руководство не акцентируется на специфических областях или деятельности банковской организации», поскольку конкретная реализация ВК «зависит от характера, сложности и рисков, связанных с деятельностью определенного банка». В то же время в основаниях для излагаемого БКБН подхода отмечается, что «…системы контроля, хорошо работающие в случаях предоставления традиционных или простых услуг, могут оказаться непригодными при предоставлении более сложных или комплексных услуг». Тем не менее содержание ВК концентрируется именно на деятельности кредитной организации (а не только на выполняемых ею операциях) и служит управлению ею (хотя и опосредованно, но явно — в плане ИСУ и ППР), а поэтому возникает закономерный вопрос: как все-таки учитывать в его проведении характер, сложность и риски, связанные с электронным банкингом?
Ниже проводится рассмотрение предлагаемых БКБН принципов, описывающих организацию ВК, которые каждая кредитная организация может использовать для формирования собственной действенной методики осуществления ВК (изложив ее во внутренних документах, представляемых службе банковского надзора) и дополнения ее такой методикой выявления, оценки, анализа, мониторинга банковских рисков и управления ими, которая будет максимально учитывать особенности построения банковских автоматизированных систем, архитектур их вычислительных сетей, систем электронного банкинга и АЛО, на котором эти системы базируются. Сказанное относится и к реинжинирингу СВК кредитной организации в целом в связи с внедрением ТЭБ, что определяется решениями ее высшего руководства в соответствии с внутрибанковским мета-процессом, связанным с переходом к ДБО.
Принцип 1. Совет директоров должен нести ответственность за утверждение и периодическую проверку общей бизнес-стратегии и наиболее важных политических решений для банка, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков и гарантирование того, что высшее руководство принимает необходимые меры для идентификации, измерения, мониторинга и контроля этих рисков, утверждение организационной структуры, а также обеспечение мониторинга со стороны высшего руководства эффективности системы внутреннего контроля. Совет директоров является в конечном счете ответственным за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля.
Анализируя содержание этого принципа, можно предположить, что система ВК может считаться эффективной, если в результате ее работы агрегированный риск, принимаемый кредитной организацией, окажется равным так называемому «чистому риску», который определялся ранее. Отсюда следует вывод, что в руководящие органы этой организации должны входить специалисты, разбирающиеся и в банковских рисках, и в их источниках, и в измерении рисков, и в мероприятиях по воздействию на источники рисков с целью исключения или снижения их влияния на результаты принятия решений (в рамках ПСУ). В органах банковского регулирования и надзора США считается, что такие руководители в административной иерархии кредитной организации соответствуют по уровню вице-президенту и менеджеру отдельного бизнес-направления (который определяется как «Chief Executive Officer»[160]).
В комментариях к этому принципу отмечается, что «совету директоров банка рекомендуется включить в свою деятельность в части ВК:
1) регулярное обсуждение с руководством эффективности системы ВК;
2) своевременные запросы оценок средств ВК со стороны руководства, внутренних и внешних аудиторов;
3) периодический контроль выполнения руководством рекомендаций аудиторов и надзорных органов по устранению недостатков В К;
4) периодическую проверку следования стратегии банка и ограничению уровней банковских рисков»
Здесь же упоминается возможность формирования в помощь совету директоров кредитной организации дополнительного контрольного органа — «аудиторского комитета», который «должен состоять из независимых директоров, имеющих представление о финансовой отчетности и средствах ВК». В обязанности этого комитета входят контроль финансовой отчетности и наблюдение за функционированием СВК. По-видимому, в дальнейшем (в формулировке принципа 11) именно эта функция обозначается как «мониторинг внутреннего контроля». Однако одновременно говорится, что «аудиторский комитет, как правило, наблюдает за деятельностью департамента внутреннего аудита банка, непосредственно взаимодействует с ним, а также осуществляет основное взаимодействие с внешними аудиторами». Про СВК не сказано ничего, вследствие чего ситуация с множащимися контрольными органами представляется несколько запутанной.
Как бы то ни было, относительно электронных банковских технологий сказанное выше означает, что и в совете директоров кредитной организации, и в ее высшем руководстве (да, пожалуй, и в аудиторском комитете) крайне желательно присутствие таких специалистов, которые имеют представление о распределенных компьютерных системах в целом, о построении информационных контуров банковской деятельности и о тех угрозах безопасности, целостности операций и данных, как факторах риска, которые типичны для таких контуров (что позволяет провести параллели с материалом в Risk Management Principles for Electronic Banking). На практике такая компетентность проявляется по-разному: в принятии обоснованных стратегических решений относительно внедрения технологий ДБО как таковых и их отдельных вариантов (в общем случае, с исключением повышения уровней банковских рисков, рассматривавшихся в главе 2), проведения соответствующей маркетинговой компании, определения тарифных планов, содержания договоров с клиентами, контрагентами и другими провайдерами (с позиций удержания уровней типичных банковских рисков в допустимых пределах), реализации функций ОИБ, ВК и ФМ и т. п. При этом само понятие адекватности ВК предполагает, что все перечисленное будет относиться и ко всем видам банковских операций, выполняемых кредитной организацией, и к предоставляемым ею видам обслуживания клиентов, причем с помощью всех используемых средств автоматизации этого обслуживания (ИКБД). Наконец, предполагается, что конкретные представители высшего руководства кредитной организации способны предъявить требования как к составу и организации СВК, так и к составу используемого АПО, а также убедиться в том, что эти требования реально выполняются (сказанное относится к так называемому «мониторингу системы ВК», о чем идет речь в Положении 242-П).
Принцип 2. Высшее руководство должно нести ответственность за реализацию стратегии и политики, утвержденных советом директоров, разработку процессов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком, поддержание организационной структуры, обеспечивающей четкое распределение ответственности, полномочий и подотчетности, гарантирование эффективного выполнения делегированных полномочий, внедрения надлежащей политики внутреннего контроля, а также мониторинг адекватности и эффективности системы внутреннего контроля.
В комментариях к этому принципу постулируется, что высшее руководство кредитной организации несет ответственность за выполнение директив совета директоров, включая реализацию стратегии и политики, а также за организацию эффективной СВК. Вместе с тем указывается, что «члены высшего руководства обычно делегируют ответственность за внедрение специальной политики и процедур ВК, связанных со специфической деятельности тех или иных подразделений банка, на руководителей этих подразделений, при сохранении наблюдения над ними». Здесь заложено (и далее просматривается практически во всех остальных принципах) коренное отличие от подхода к организации ВК в отечественных кредитных организациях, а именно «распределение» функций ВК практически по всему персоналу кредитной организации вместо формирования в ней специализированного подразделения В К, подчиняющегося непосредственно высшему руководству и являющегося ядром СВК[161].
В то же время, поскольку применение ТЭБ затрагивает работу нескольких структурных подразделений кредитной организации, логично использовать аналогичное предложенному БКБН распределение функций ВК. Чтобы процесс ВК автоматизированной и распределенной через ИКБД банковской деятельности охватывал все внутрибанковские процессы, процедуры и функции, выполняемые кредитной организацией, наряду с внутренними и внешними взаимосвязями, служба ВК должна располагать возможностями, механизмами и средствами адекватного информационно-аналитического обеспечения своей деятельности. Следствием этого становится гарантированно полное и своевременное информационное обеспечение руководства организации, без которого невозможно принятие правильных решений в отношении выявления, анализа, мониторинга источников компонентов банковских рисков и управления ими. Поэтому, учитывая ролевую функцию службы ВК в процессе ППР, логично рассматривать эту службу как некий информационно-аналитический центр, оснащенный «датчиками», расположенными в других подразделениях кредитной организации, имеющих отношение к осуществлению и обеспечению ДБО. При этом структура СВК может быть условно представлена схемой на рис. 5.7.
Здесь СВК интерпретирована как служба ВК с элементами ВК, внедренными в функциональные процессы других структурных подразделений кредитной организации.
Все перечисленные во втором принципе меры должны быть документированы, и важность этого подчеркивается в Рекомендациях, равно как и значимость доведения политики кредитной организации и описаний организованных в ней процессов и процедур до ее персонала, что важно для иерархии полномочий и подотчетности. При этом обращается внимание на то, что «…распределение обязанностей и ответственности должно быть таким, чтобы гарантировалась непрерывность подотчетности и чтобы эффективный управленческий контроль распространялся на все уровни банка и виды его деятельности». Надо заметить, что для охвата всего ИКБД документарное обеспечение должно быть весьма развитым, для высшего руководства это означает также и развитый внутрибанковский механизм, с помощью которого будет осуществляться управленческое наблюдение — решение о его создании требует коллегиального принятия и реализации.
Принцип 3. Совет директоров и высшее руководство отвечают за поддержание высоких стандартов этики и честности, а также за внедрение такой культуры в организации, которая подчеркивала бы и демонстрировала бы важность внутреннего контроля для персонала всех ее уровней. Все сотрудники банковской организации должны понимать свою роль в процессе внутреннего контроля и быть полностью вовлечены в этот процесс.
В условиях электронного банкинга поддержание стандартов, о которых говорится в третьем принципе, становится непростой задачей, во-первых, из-за специфики информационного взаимодействия между кредитной организацией и ее клиентами через киберпространство, во-вторых, из-за возможности НСД, как говорят, к «чувствительной» клиентской информации, мошеннических действий, хищений финансовых средств и скрытого осуществления «сомнительных» финансовых операций. Поскольку проявление «человеческого фактора» предвидеть крайне трудно, руководству высокотехнологичной кредитной организации лучше не уповать на честность, а позаботиться о максимально широком соответствии банковской деятельности и условий использования каждой СЭБ принципу «четырех глаз». Не менее важна разработка полноценных программ ВК (особенно в части аудита ИТ), охватывающих все каналы ДБО, информационные сечения между автоматизированными системами, сетевые кабельные подключения и автоматизированные рабочие места персонала (прежде всего те, которые предназначены для выполнения функции администрирования информационно-процессинговых ресурсов организации).
Акцент на этом целесообразно сделать в положениях о СБ и о службе ВК, а также отразить соответствующий подход в «Положении о системе внутреннего контроля» кредитной организации, «Положении об управлении банковскими рисками» и «Политике обеспечения информационной безопасности». Надо подчеркнуть, что внедрение каждой новой ТЭБ и реализующей ее СЭБ, даже если такие системы однородны (как, например, системы интернет-банкинга для юридических и физических лиц), должно бы сопровождаться проявлениями мета-процесса в отношении упомянутых документов и процедур в составе соответствующих внутрибанковских процессов. Впрочем, сказанное здесь не исключает пропагандирование моральных и этических корпоративных ценностей, только в условиях применения ТЭБ его лучше строить таким образом, чтобы не натолкнуть кого-либо из ответственных исполнителей на мысль об использовании возможностей виртуального пространства в личных целях, отличающихся от корпоративных.
Принцип 4. Чтобы система внутреннего контроля была эффективной, требуется распознавать и постоянно оценивать материальные риски, которые могут негативно повлиять на достижение целей банка. Это оценивание должно охватывать все риски, с которыми сталкивается банк и консолидированная банковская организация (а именно, кредитный риск, страновой и трансферный риск, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и репутационный риск). Может потребоваться пересмотр средств внутреннего контроля в интересах правильного реагирования на новые или ранее неконтролируемые риски.
В комментариях к этому принципу говорится следующее: «Банки заняты бизнесом, связанным с принятием рисков. Поэтому принципиально важно, чтобы в рамках системы внутреннего контроля эти риски распознавались и оценивались на постоянной основе. С позиций внутреннего контроля при выявлении рисков должны идентифицироваться и оцениваться внутренние и внешние факторы, которые могут негативно повлиять на достижение функциональных, информационных и правовых целей банковской организации». В этом принципе намечено нечто более конкретное сравнительно с предыдущими — эффективность включает выявление, распознавание + непрерывное оценивание всех материальных рисков, без чего эффективность не может быть достигнута (приведенный состав банковских рисков отличен от предложенных в книге).
Указывается также, что «эффективное выявление рисков предполагает идентификацию и изучение внутренних факторов (таких как сложность организационной структуры, характер банковской деятельности, качественный состав персонала, организационные изменения и текучка кадров), равно как и внешних факторов (таких как вариации финансовых условий, изменения в данной сфере и технологические усовершенствования), которые способны негативно повлиять на достижение банком своих целей». При этом выявление риска следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе — в случае многофилиальных организаций (о чем дополнительно будет сказано в параграфе 5.6). Остальное содержание этого принципа, по существу, уже было прокомментировано в параграфе 5.2.
Принцип 5. Работа по осуществлению контроля должна входить в повседневную деятельность банка. Чтобы система внутреннего контроля была эффективной, требуется должная структура контроля с определением контрольных мероприятия для каждого уровня бизнеса. В их число следует включить проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.
Этим принципом введен еще один компонент, определяющий эффективность ВК, — должная структура контроля. Это означает, что с самого начала контрольная деятельность планируется и реализуется для снижения уровней рисков, которые банк идентифицирует. Такая деятельность осуществляется в два этапа: 1) разработка соответствующей «политики» и процедур контроля; 2) подтверждение того, что указанные политика и процедуры действуют. Контролем также предлагается охватывать все уровни персонала в кредитной организации: от высшего руководства до операционистов. В комментариях к этому принципу электронные банковские технологии не упоминаются, а значит, банковские специалисты, входящие в СВК, в случае внедрения конкретной ТЭБ должны руководствоваться своими представлениями, а высшему руководству ВК придется принимать решение относительно степени адекватности новых подходов к его осуществлению принципам БКБН. Можно представить также квалификационные требования к таким специалистам. В Рекомендациях приведены следующие примеры контрольной деятельности:
проверки высшего уровня — совет директоров и высшее руководство требуют отчеты о работе, позволяющие проверять, насколько текущая деятельность в банке соответствует поставленным целям. При этом имеет место интенсивное взаимодействие с менеджерами среднего звена, в ходе которого могут выявляться недостатки в контроле, ошибки в отчетности или мошенничества;
средства оперативного контроля — руководство департаментов или управлений получает и проверяет стандартизованные отчеты о текущей работе на ежедневной, еженедельной или ежемесячной основе в зависимости от особенностей бизнес-направлений. Собственно контроль реализуется при взаимодействии руководства с отчитывающимся персоналом по схеме «вопрос — ответ»;
средства физического контроля — они обычно ориентированы на ограничение доступа к активам, включая наличные и ценные бумаги. В собственно деятельность включены физические ограничения, двойная защита и периодическая инвентаризация;
соблюдение установленных ограничений — имеется в виду подверженность риску, например, установление лимитов для заемщиков (в плане кредитного риска) и диверсификация профиля риска[162];
утверждение и авторизация — в отношении конкретных транзакций, особенно выходящих за установленные пределы, трактуется как информирование руководства соответствующего уровня, утверждающего эти действия, о том, что такие случаи имеют место.
Эти и другие, менее существенные действия ставят перед ВК серьезные задачи. К примеру, необходимо убедиться в том, что формируемые из виртуального пространства БАС финансовые и другие отчеты (неважно, с какой периодичностью) содержат достоверную информацию. В СВК в этом случае необходимо включать внедренные в СЭБ и БАС средства подтверждения целостности записей в компьютерных базах данных, файлах системных и аудиторских журналов и пр. и собственные средства проверки при необходимости выполнения правил учета, обработки, хранения ордеров клиентов. Если же какой-либо клиент осуществляет крупные и (или) сомнительные операции, подпадающие под юрисдикцию службы ФМ (о чем, кстати, в Рекомендациях ничего не сказано, хотя ПОД/ФТ охватило весь мир), то, в общем случае, необходимы средства автоматизированного программного контроля в БАС, а следовательно, их надо проектировать, разрабатывать, проверять, равно как определять возможности контроля их функционирования, предусмотрев в АС соответствующие «контрольные точки» и индикаторы, сообщающие о подозрительных операциях, и многое другое.
В добавление к сказанному отмечается, что «…руководство банка обязано регулярно убеждаться в том, что работа на всех участках банка ведется в соответствии с установленными политикой и процедурами, а те в свою очередь остаются адекватными. В этом обычно заключается главная роль функции внутреннего аудита». Учитывая комментарии к первому принципу, нетрудно представить требуемый уровень компетентности руководства кредитной организации и службы ВК, равно как и ее специалистов, а также требования к их технологическому и техническому оснащению, программам и методикам проведения проверок и т. п.
Принцип 6. Чтобы система внутреннего контроля была эффективной, требуется надлежащее разделение обязанностей. На персонал не должны возлагаться конфликтующие обязанности. Области потенциальных конфликтов интересов следует идентифицировать, минимизировать и обеспечить их тщательный независимый мониторинг.
Этим принципом определяется еще один компонент эффективности ВК — надлежащее разделение обязанностей, которое предназначено прежде всего для снижения вероятности финансовых потерь. Смысл его в том, чтобы лица, осуществляющие управление финансовыми средствами, не могли тайно воспользоваться ими в личных целях, а лица, ответственные за операции, следствием которых могут быть финансовые потери, не имели возможности их скрыть. Этот принцип подтверждает целесообразность активного участия службы ВК (и СБ) в ЖЦ внедряемой СЭБ с самого начала, чтобы предусмотреть правильное разделение прав и полномочий доступа к внутрибанковским компьютерным системам, операционному программному обеспечению, файлам банковских данных и регламентных отчетов, а также наличие физических и логических (программных) средств ограничений возможностей пользователей БАС и СЭБ вместе с порядками их внедрения, сопровождения, изменения и т. п. Тем самым будет оказано содействие требуемому разделению обязанностей с «контрольного» уровня, учитывая, что в части идентификации и минимизации таких проблемных областей конкретных предложений в Рекомендациях нет, а мониторинг их должен осуществляться «независимой третьей стороной».
Кроме того, в комментарии к этому принципу сказано, что «.. должны осуществляться периодические проверки обязанностей и функций основных исполнителей, чтобы у них не было возможностей скрыть непредусмотренные действия». Фактически такие процедуры реализуются действиями администраторов автоматизированных систем и информационной безопасности, поэтому к ним, к их должностным обязанностям (равно как и к их исполнению) руководству кредитной организации целесообразно привлекать внимание службы ВК, не забывая о значимости следования принципу «четырех глаз». Последнее необходимо документировать в положениях о «заинтересованных» структурных подразделениях кредитной организации и должностных инструкциях ответственных исполнителей, о чем также логично позаботиться исполнительным органам, которые руководствуются содержанием упоминавшегося внутрибанковского мета-процесса.
Принцип 7. Чтобы система внутреннего контроля была эффективной, требуется адекватная и полная внутренняя финансовая, операционная и правовая информация, равно как и внешняя рыночная информация о событиях и условиях, которые следует учитывать при принятии решений. Информация должна быть надежной, своевременной, доступной и предоставленной в требуемом формате.
В комментариях к этому принципу, кроме повторения его содержания, говорится только о том, что должны иметься процедуры для поддержания и сохранения записей (какие и каких — не уточняется). Исходя из изложенного в главах 3 и 4, руководству и специалистам ВК целесообразно вместе с сотрудниками подразделений ИТ и СБ определить внутрисистемные информационные сечения и контрольные точки, в которых они смогут считывать требуемую им контрольную информацию (помимо упоминавшихся типовых процедур организационного и документарного характера). Состав соответствующих финансовых, операционных, клиентских и служебных (и сеансовых — в случае ДБО) данных предпочтительно зафиксировать документально и, скорее всего, оформить как сведения ограниченного распространения. Необходимо помнить, что методы и содержание проверок не должны быть общедоступными, чтобы знания о них не были использованы в попытках осуществления противоправных действий или сокрытия совершенных ошибок, для чего любая ТЭБ и виртуальное пространство БАС зачастую предоставляют разнообразные возможности.
Принцип 8. Чтобы система внутреннего контроля была эффективной, требуются надежные информационные системы, охватывающие все важные направления деятельности банка. Эти системы, включая те, в которых данные хранятся и используются в электронной форме, должны быть защищены, независимо контролируемы и поддержаны адекватными мерами на случай непредвиденных обстоятельств.
Критическим компонентом обеспечения надежности банковской деятельности является организация и сопровождение ИСУ, которая охватывает все процессы в кредитной организации. В Рекомендациях отмечается, что «банки должны уделять особое внимание… требованиям внутреннего контроля, относящимся к обработке информации в электронной форме и наличию адекватных аудиторских записей. От плохо спроектированных и недостаточно контролируемых систем может поступать ненадежная и вводящая в заблуждение информация, что способно негативно повлиять на принятие решений руководством». Там же говорится о необходимости принимать меры для обеспечения бесперебойной работы информационных систем, чтобы избежать прерывания операций и возможных потерь. Поскольку в настоящее время банковские компьютерные системы стали распределенными, особенно за счет вовлечения в обработку транзакций и данных организаций-провайдеров, число факторов риска увеличилось, и соответственно могут значительно возрасти уровни банковских рисков, связанных как с автоматизированными системами, так и с ИКБД в целом. Поэтому пропорциональное расширение сферы ответственности ВК неизбежно, поскольку, несмотря на решения части задач подразделением ИТ и СБ, первое из них, как правило, уделяет больше внимания БАС и СЭБ, а второе — вопросам инкассации и физической безопасности кредитной организации. При этом критично важным становится ведение системных логов и аудиторских трейлов, в файлах которых фиксируются операции пользователей БАС и СЭБ. Но даже при полном охвате этими службами всех функциональных участков электронного банкинга необходим внешний по отношению к их деятельности контроль, который является прерогативой ВК.
В Рекомендациях поясняется, что средства контроля над информационными системами и технологиями должны включать как общие, так и прикладные средства. Под общими средствами контроля понимаются те, которые относятся к компьютерным системам (например, мэйнфреймам и серверам, взаимодействию клиент — сервер, сетевым экранам, рабочим станциям и т. п.) и обеспечивают их непрерывное правильное функционирование. Общие средства контроля включают внутрибанковские процедуры мониторинга и восстановления функционирования, политику информатизации (разработки и приобретения программного обеспечения), процедуры сопровождения (контроля изменений), также средства контроля физического/логического доступа к БАС, СЭБ, ЛВС, ЗВС и пр. Прикладные средства (в соответствии с Положением 242-П) имеют вид «встроенных в служебное программное обеспечение или выполняемых вручную процедур, которые контролируют обработку транзакций и деловые операции. В прикладные средства контроля входят, например, проверка ввода и специфическое управление логическим доступом, уникальное для той или иной системы». При отсутствии адекватных средств контроля над информационными системами и технологиями, включая разрабатываемые системы, банки подвергаются опасности потери данных и программ из-за недостаточности мер физической и логической защиты, отказов оборудования или систем, а также неполноты собственных процедур резервирования и восстановления функционирования. В Рекомендациях отмечается, что «планирование на случай форс-мажорных обстоятельств следует осуществлять по всему банку, с привлечением руководителей направлений бизнеса, не ограничиваясь только централизованными операциями». Что касается самих планов, то их следует периодически оценивать на «функциональность», исходя из возможных внезапных катастрофических событий.
Принцип 9. Чтобы система внутреннего контроля была эффективной, требуются эффективные каналы взаимодействия, обеспечивающие полное понимание и приверженность персонала политике и процедурам, определяющим их обязанности и ответственность, а также доведение информации, имеющей к ним отношение, до соответствующего персонала.
Комментарий этого принципа начинается с постулата «информация бесполезна, если отсутствуют средства ее эффективного доведения». В обязанности руководства вменяется применение таких способов коммуникаций, которые гарантировали бы получение требуемой информации теми, для кого она предназначена. Это утверждение относится к информации как о принятых политике и процедурах кредитной организации, так и о ее реальном функционировании и прямо зависит от организационной структуры, которая должна обеспечивать должное прохождение информационных потоков в соответствующей иерархии «сверху — вниз, снизу — вверх и по горизонтали». Главное — «совет директоров и высшее руководство должны быть в курсе работы банка и деловых рисков и уверены в том, что необходимая информация доводится до руководителей нижнего звена и операционного персонала».
Принцип 10. Следует осуществлять на постоянной основе мониторинг эффективности средств внутреннего контроля банка. Мониторинг основных рисков должен быть составной частью повседневной деятельности в банке, так же как периодическое оценивание направлений бизнеса и внутренний аудит.
Этот и все оставшиеся принципы не имеют непосредственного отношения к ВК и связаны с деятельностью «вокруг» него. Они ориентированы, по-видимому, преимущественно на содержание контрольных функций в отношении кредитной организации (в части ВК), реализуемых органом банковского надзора.
Считается, что, поскольку банковское дело является динамичным и быстро развивающимся, «банкам необходимо осуществлять постоянный мониторинг и оценивание своих систем внутреннего контроля с точки зрения изменений во внутренних и внешних условиях и совершенствовать эти системы в целях поддержания их эффективности». При этом руководство кредитной организации должно четко определить, кто за такой мониторинг отвечает, — это может быть, например, служба внутреннего аудита, а осуществляться он должен на повседневной основе исходя из «состава наблюдаемых рисков, частоты и характера изменений в операционной среде». В части внедрения и развития ТЭБ, безусловно, целесообразно вовлечение службы ВК в эти процедуры, поскольку невозможно контролировать применение новых технологий без ознакомления с ними. Это тем более важно, что современные аппаратно-программные комплексы развиваются столь быстро, что не всегда компании-разработчики успевают полно и качественно провести даже альфа-тестирование, не говоря уже о бета-тестировании. Не менее важно участие ВК в процедурах «стыковки» каждой новой АС с уже действующими, так как это всегда связано с проблемами обеспечения совместимости АПО разных версий и степеней сложности или разных операционных систем. Даже если специалисты ВК не обладают всей полнотой технических знаний (а их профессиональная переподготовка должна быть регулярной — в соответствии с мета-процессом), все равно им следует требовать от специалистов технического плана подтверждения достаточности встроенных или дополнительных (внешних) средств контроля функционирования вновь внедряемой АС и проведения полноценных ПСИ.
Достоинство текущего мониторинга ВК, как отмечается в Рекомендациях, состоит в том, что он позволяет быстро обнаружить и скорректировать недостатки в СВК, однако скорее сами специалисты ВК выявят нехватку какой-либо профессионально необходимой информации, чем какая-либо внешняя по отношению к ним служба (которая должна в этом случае характеризоваться еще более высокой квалификацией, чем внутренние контролеры). Это относится прежде всего к самооценке используемых средств контроля, а также условий, в которых они применяются. В пределе максимальная эффективность ВК достигается только в том случае, если его средства «интегрированы» в бизнес-процессы, в операционную среду кредитной организации и имеется возможность формирования оперативных контрольных отчетов, содержащих всю необходимую информацию для полноценного контроля функционирования автоматизированных систем, используемых кредитной организацией, в чем должно быть заинтересовано ее руководство.
Принцип 11. Должен быть организован эффективный и полноценный внутренний аудит системы внутреннего контроля, осуществляемый функционально независимым, прошедшим должную подготовку и компетентным персоналом. Те, кто осуществляет функцию внутреннего аудита как части мониторинга системы средств внутреннего контроля, должны отчитываться непосредственно перед советом директоров или его аудиторским комитетом и перед высшим руководством.
Независимая от рабочих подразделений кредитной организации функция внутреннего аудита, имеющая доступ ко всей его банковской деятельности, включая филиалы, считается важной частью текущего мониторинга системы средств ВК, поскольку она «обеспечивает независимое оценивание соответствия установленным политике и процедурам». Оценка работы соответствующей службы должна даваться советом директоров или высшим руководством, определяющими также ее финансирование, причем независимо от руководителей контролируемых подразделений. Других комментариев БКБН к этому принципу не дает, хотя возникают как минимум три вопроса: а) целесообразно ли дублирование службой внутреннего аудита (ВА) процедур ВК и если да, то в какой мере; б) какой должна быть квалификация специалистов этой службы, если в случае, скажем, применения ТЭБ в службе ВК и так должны быть представлены как минимум финансовая, техническая (с ориентацией на компьютерные технологии) и юридическая квалификации; в) какова должна быть компетентность представителя руководства кредитной организации, который будет оценивать результаты внутреннего аудита? Вероятно, более уместным было бы разделение функций обеих служб таким образом, чтобы сотрудники ВК больше ориентировались на организационные, технологические (в широком смысле) и технические аспекты банковской деятельности, а ВА — на административные, финансовые и правовые вопросы, хотя готовых решений в этой части на сегодняшний день, похоже, еще не найдено, вследствие чего в других, не рассматриваемых здесь работах БКБН встречаются и не согласующиеся с рассмотренными положения.
Принцип 12. О недостатках во внутреннем контроле независимо от того, выявлены они по направлениям бизнеса внутренним аудитом или другим персоналом, выполняющим контрольные функции, следует своевременно и адресно докладывать на соответствующем управленческом уровне. О значимых недостатках во внутреннем контроле следует докладывать высшему руководству и совету директоров.
В комментарии к этому принципу отмечается, что после выявления недостатков в работе ВК действия руководства кредитной организации по исправлению ситуации должны быть «адекватными и своевременными». Внутренним же аудиторам следует осуществлять последующий контроль и устанавливать, все ли недостатки исправлены, докладывая об этом руководству и документируя все проблемы и корректирующие мероприятия.
Принцип 13. Органам надзора следует требовать, чтобы все банки, независимо от их размера, имели систему средств внутреннего контроля, соответствующую характеру, сложности и риску, присущему их балансовым и внебалансовым операциям, которая адаптировалась бы к изменениям в самом банке и внешних условиях. В тех случаях, когда надзорным органом устанавливается, что система внутреннего контроля банка не является адекватной или эффективной с точки зрения конкретного профиля риска банка (например, учитывает не все принципы, изложенные в настоящем документе), им должны приниматься соответствующие меры.
Построение СВК кредитной организации, ее адекватность содержанию банковской деятельности и эффективность, а также реакция руководства на результаты ее функционирования «должны оцениваться органом банковского надзора на основе риск-ориентированного подхода». При этом особо отмечается, что «должны оцениваться средства контроля в областях повышенного риска (как то, деятельность, характеризуемая необычной доходностью, быстрым развитием, новыми бизнес-решениями, географической удаленностью от головного офиса)». Можно предположить, что последние два примера непосредственно относятся к ДБО. Далее сказано, что «…изменения в условиях работы банка следует подвергать специальному рассмотрению». К этим изменениям отнесены:
1) изменения в операционных условиях;
2) прием нового персонала;
3) внедрение новой информационной системы или ее модернизация;
4) быстрое развитие какой-либо области деятельности;
5) внедрение новых технологий;
6) появление новых услуг, видов обслуживания или деятельности;
7) корпоративная реструктуризация, слияния и приобретения;
8) внедрение или расширение зарубежных операций.
Очевидно, что практически три четверти перечисленных изменений можно прямо отнести к внедрению или расширению применения технологий электронного банкинга. Что касается «соответствующих мер», то под ними понимаются информирование руководства кредитной организации о выявленных проблемах и мониторинг мероприятий, проводимых им для устранения недостатков ВК. Соответственно сотрудникам СВК следует быть готовыми к тому, что все связанное с новыми банковскими информационными технологиями, особенно в современных условиях с технологиями ДБО, привлечет внимание банковского надзора.
В завершение рассмотрения можно заметить, что в последние годы получают распространение так называемые «трансграничные» банковские операции, совершаемые кредитными организациями в электронной форме в рамках ДБО. Дополнительный стимул к их развитию дала такая его разновидность, как интернет-банкинг. Этому направлению в настоящее время уделяется повышенное внимание органов банковского и финансового надзора разных стран в связи с целым рядом потенциальных проблем ДБО, а именно его правовой неурегулированностью на локальных и международном уровнях, прохождением транзакций через процессинговые центры, расположенные на территории разных государств, возможностями его использования для «отмывания» денег и пр. Поэтому в современных условиях перед последним, 13-м принципом Рекомендаций можно было бы добавить еще один принцип, формулировка которого получена на основе положений более поздних публикаций БКБН:
Банкам следует интегрировать в свою систему управления рисками те риски, которые могут оказаться связаны с трансграничным банковским обслуживанием через каналы электронного банкинга. Все процедуры управления такими рисками, как риск ликвидности, операционный, правовой, репутационный, страновой и стратегический риски, необходимо адаптировать с позиций обеспечения выполнения обязательств перед клиентами, адекватного раскрытия информации о банковской деятельности и организации надлежащих процессов контроля управления рисками и оценки его качества до того, как приступать к трансграничному обслуживанию с помощью технологий электронного банкинга.
Трансграничная активность в рамках ДБО постоянно увеличивается в последнее время, поскольку пользование таким обслуживанием расширяется во многих странах и Россия не является исключением. Причем наблюдается стабильный рост пользователей Интернета, которые охотно используют эту разновидность ДБО ввиду предоставляемых ею удобств для доступа к банковским услугам. Не исключено, что в скором времени, учитывая результаты либерализации российского валютного законодательства, клиенты будут обращать все меньше внимания на то, в какой конкретно стране мира расположен банк, услугами которого они предполагают воспользоваться.
На основе проведенного рассмотрения уместно сделать еще два принципиальных замечания по существу вопроса модернизации ВК как процесса, СВК как «общебанковской» структуры и обеспечения совокупной квалификации входящих в нее специалистов кредитной организации, внедряющей ТЭБ, а именно:
1) кредитные организации могут неадекватно оценивать надежность (качество) процесса ВК (и ФМ), вследствие чего могут смещаться профили и повышаться уровни банковских рисков;
2) контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса ВК способам и условиям осуществления ими своей банковской деятельности.
На обеих проблемах в последние годы зарубежными органами финансового контроля (в широком смысле) делаются серьезные акценты.
В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов[163], основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г.[164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям:
В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей[165]. Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией CISA — «Сертифицированный аудитор информационных систем» и CISM — «Сертифицированный менеджер информационных систем»[166]. Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных систем всегда делается акцент в литературе, посвященной аудиту ИТ, составляющих основу современного бизнеса’. По существу ни одна системная разработка, АС или СЭБ не должны внедряться в кредитной организации без участия специалистов ВК, причем их участие необходимо с начала проектирования таких систем, как об этом было сказано выше. В книге Davis С., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets, представляющей собой отличное введение в аудит ИТ, указывается, что ВК «должен быть не частью проблемы, а частью ее решения». При этом его специалистам следует присутствовать на всех важных совещаниях по вопросам автоматизации, они должны активно участвовать в обсуждении предусматриваемых в автоматизированных системах средств контроля и ни в коем случае не «занимать позицию мухи на стене». Стоит добавить, что такую ролевую функцию ВК руководству кредитной организации целесообразно предусмотреть в ее «Положении о службе внутреннего контроля» (на основе риск-ориентированного подхода) и должностных инструкциях ответственных менеджеров и исполнителей.
В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:
над содержанием и ведением web-сайта, используемого кредитной организацией;
бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;
функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации;
поставщиками программного обеспечения интернет-банкинга;
мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.
Тем самым должна обеспечиваться контролируемость в целом информационного контура интернет-банкинга, используемого кредитной организацией.
Что касается адаптации ВК, то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен рассмотренному в отношении процесса ОИБ. Он строится, как предлагалось выше, исходя из содержания жизненного цикла процесса ВК в отношении, в данном случае, систем ДБО. В целом он заключается в выполнении совокупности опять-таки типовых, описанных во внутренних документах кредитной организации процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным в ней границам для уровней принимаемых банковских рисков.
В число типовых внутрибанковских процедур в части ВК целесообразно включать (как минимум):
разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь — технологии ДБО), т. е. участие в проектировании и разработке внутрибанковских систем;
контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, т. е. участие в ПСИ начиная со стадии подготовки их программ и методик;
регулярную проверку функциональности и надежности средств ВК, т. е. участие в эксплуатации и сопровождении автоматизированных систем, а также контроль над функционированием и состоянием аналогичных компьютерных систем провайдеров кредитной организации;
обеспечение адаптации мер по обеспечению управляемости и контролируемости ИКБД при модернизации автоматизированных систем и выводе их из эксплуатации и замене, а также при заключении контрактных отношений с новыми провайдерами (включая замену провайдера в интересах учета специфики той или иной организации).
Эти процедуры, как и в случае адаптации ОИБ, целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой кредитной организацией.
Точно так же «Положение о внутреннем контроле» (или его аналог) и связанные с ним внутрибанковские документы целесообразно пересматривать при внедрении каждой новой технологии электронного банкинга и реализующей ее системы и однозначно увязывать его содержание с содержанием «Положения об управлении банковскими рисками», включающего описания компонентов банковских рисков, ассоциируемых с электронным банкингом (как минимум операционного, правового, репутационного, неплатежеспособности и стратегического рисков). В «Положение о внутреннем контроле» кредитной организации целесообразно включить описание специальных функций контроля над управлением банковскими рисками, «привязав» их к конкретным системам электронного банкинга, а также над организацией ФМ и содержанием положения о его осуществлении в кредитной организации. Общая оценка значимости роли ВК с риск-ориентированных позиций в условиях применения и развития кредитными организациями технологий электронного банкинга может быть сформулирована следующим образом:
Недостатки в организации внутреннего контроля в условиях применения современных банковских информационных технологий могут оказаться наиболее серьезными источниками компонентов банковских рисков для кредитной организации и ее клиентов.
Новые информационные технологии и ассоциируемые с их применением в банковской деятельности потенциальные факторы возникновения источников компонентов банковских рисков «требуют» обеспечения гарантий адекватности ВК составу сложности и особенностям прежде всего технологий электронного банкинга, а также масштабам ДБО. Именно поэтому кредитным организациям, использующим в своей деятельности распределенные компьютерные технологии в «открытых системах», в условиях отсутствия (и невозможности) регламентации нормативными правовыми актами информатизации банковской деятельности необходимо разрабатывать новую индивидуальную методологию ее ВК начиная с применения ТЭБ. Кроме того, руководству высокотехнологичных кредитных организаций целесообразно помнить о том, что всегда остается вопрос: кто проверяет проверяющих?
Такой вид деятельности, как внутренний контроль, исторически складывался в качестве механизма выявления и предотвращения случаев мошенничества или хищений, а также ошибок. Однако к настоящему времени сфера его применения существенно расширилась, охватывая разнообразные риски, связанные с банковской деятельностью кредитных организаций, а все перечисленное выше постепенно становится прерогативой формирующегося процесса ФМ (пока еще считающегося специализированной процедурой — компонентом процесса ВК). Изменение характера банковской деятельности, выражающееся в интенсивном использовании ДБО, разных вариантов ИКБД и обширных зональных сетей банкоматов и платежных терминалов, неизбежно приводит к необходимости включения в состав процесса ВК новых процедур, предназначенных для учета в процессе УБР возникновения новых угроз надежности банковской деятельности. Тем не менее многие отечественные кредитные организации, стремящиеся расширять спектр услуг ДБО, не успевают адаптировать к ним свой ВК ни как работу специальной службы, ни как функционирование СВК, что препятствует эффективному парированию таких угроз и поддержанию контроля со стороны руководства кредитной организации над смещениями ее профиля риска.
Во многих материалах зарубежных органов банковского регулирования и надзора отмечается, что новации в сфере ИТ, трансграничная банковская деятельность и глобализация финансовых рынков способствуют существенному повышению вероятности реализации системных рисков, т. е. проявлению их на уровне банковского сектора. Особенно озабоченность качеством ВК в различных организациях характерна для США, где для обеспечения адекватности контрольных функций такого рода были даже приняты специальные федеральные законы, известные по фамилиям их создателей как акты Грэма-Лич-Блайли и Сарбанеса-Оксли[155]. В первом из них акцент сделан на контроле обеспечения конфиденциальности и целостности клиентской информации, во втором — на корпоративной ответственности, контроле достоверности финансовой информации и аудите систем ВК. В обоих законодательных актах серьезное внимание обращалось на адекватность и эффективность систем и средств ВК в части применения ИТ и корпоративных систем управления рисками.
В этих актах нашло отражение осознание значимости ИТ для современных учреждений разного рода и того, что сами эти технологии формируют условия и для внедрения новых способов управления рисками, и для ВК, отвечающего за мониторинг процедур выявления, анализа банковских рисков и управления ими. Технологии ВК вместе с реализующими ее методами и средствами устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, что означает потребность в их модернизации. Вследствие этого процесс ВК, акцентированный на применении ИТ, становится неотъемлемой частью всей инфраструктуры кредитной организации (при этом считается, кстати, что расходы на его обеспечение целесообразно определять исходя из возможностей парирования финансовых потерь, обусловленных реализацией банковских рисков, особенно это справедливо в усложнившихся условиях использования ДБО). Важно подчеркнуть, что ролевые функции в составе процесса ВК, во-первых, стали распределяться между подразделениями современных кредитных организаций, во-вторых, существенно усложнились ввиду перемещения процедур бухгалтерского учета и подготовки банковской отчетности в виртуальное пространство, значительного расширения тематику ОИБ с возникновением ранее отсутствовавших проблем, ростом значимости адекватного решения вопросов ФМ и т. д.
Однако даже это принципиальное усложнение состава задач службы ВК их состав не исчерпывает. Дело в том, что в современных технологиях ДБО велика роль провайдеров кредитных организаций, от которых, как уже отмечалось, во многом зависит надежность банковской деятельности — в восприятии удаленных клиентов; да и для самих этих организаций надежность провайдеров с точки зрения обеспечения гарантий уровня обслуживания часто бывает критично важной. В то же время вопросы контроля надежности провайдеров, определения требований к взаимоотношениям кредитных организаций с провайдерами, управления этими отношениями со стороны первых, оценки уровня обслуживания и ряд других остаются неурегулированными в законодательном плане[156]. Необходимо осознание руководством кредитной организации того, что внедрение технологий электронного банкинга радикально изменяет (расширяет) содержание внутреннего контроля, так что если он не подвергнется модернизации, то кредитные организации вряд ли смогут аргументированно доказать его адекватность изменившимся условиям осуществления ВК.
Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве[157].
В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.
Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:
выполнение банковских операций и сделок;
подготовка регламентной банковской отчетности;
оценка соответствия установленным требованиям.
Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLA с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.
Таким образом, для адаптации процесса ВК, как неотъемлемой составляющей банковской деятельности, целесообразно известное переосмысление, в отношении конкретных процедур, составляющих этот процесс и определяемых требованиями оптимизации ППР в части УБР электронного банкинга. Тем более что ни БКБН, ни другие зарубежные органы банковского регулирования и надзора не предлагают новых материалов, которые устанавливали бы прямые связи между особенностями ВК при использовании современных банковских информационных технологий. В анализировавшемся выше материале БКБН[158], посвященном принципам управления рисками при электронном банкинге, упоминалось, что для обеспечения эффективного ВК над ТЭБ нужен постоянный адекватный контроль со стороны руководства кредитной организации и что один из важнейших принципов ВК — это разделение обязанностей. Во введении к не рассматриваемому здесь и более раннему, а потому уже не во всем актуальному руководству по этой же теме было сказано, что «…эффективные средства внутреннего контроля являются критичным компонентом банковского менеджмента и основой безопасного и надежного функционирования банковских организаций». При этом, впрочем, не было определено понятие эффективности и не обосновывалась значимость ВК как такового для безопасной и надежной банковской деятельности кредитных организаций. Несмотря на важность перечисленных в упомянутой работе положений, их все-таки недостаточно для имеющего прикладное значение анализа изменений в ВК, связанных с ТЭБ.
Тем не менее основания для методических разработок, адаптирующих ВК к переходу к ДБО, можно найти, если попытаться интерпретировать разработки зарубежных органов банковского регулирования и надзора в области ВК, в частности материалы БКБН, с позиций учета состава и влияния факторов возникновения дополнительных компонентов банковских рисков, ассоциируемых с ДБО, а также специфики возникновения и проявления источников этих компонентов. В последний раз БКБН в своих публикациях уделял внимание принципам организации и осуществления ВК в кредитных организациях в 1998 г.[159] С тех пор каких-либо новых рекомендаций по этой тематике в адрес кредитных организаций не поступало, несмотря на то что за прошедшие годы в банковской сфере произошли значительные изменения, особенно в части сервисных технологий банковской деятельности, основывающихся на разнообразном АПО ДБО. Как бы то ни было, упомянутый материал, обрисовывающий общую схему ВК в кредитной организации, вполне пригоден для интерпретации в отношении электронного банкинга.
Рассматриваемая работа (далее — Рекомендации) была ориентирована, как заявлялось, на «совершенствование банковского надзора с помощью рекомендаций, способствующих надежному управлению рисками». В ней была определена общая схема оценивания органом банковского надзора СВК кредитной организации, а фактически — модель СВК, признаваемая этим органом, которая базировалась на 13 принципах, предназначенных для использования как при совершенствовании банковского надзора, так и при оценивании системы ВК кредитной организации. Как было сказано во введении к этому материалу, «эти принципы имеют общий характер, и органам надзора следует использовать их при оценке своих собственных методов и процедур надзора для мониторинга организации банками своих систем внутреннего контроля». Одновременно однозначно указывалось на то, что «данные принципы предоставят полезную схему для эффективного надзора за системами внутреннего контроля». Таким образом, очевидно, что назначение принципов изначально полагалось двояким.
Постулировалось также, что в этом материале «описаны безусловно необходимые компоненты надежной системы внутреннего контроля», хотя в явной форме эти компоненты не предлагались банкам как обязательные для реализации. Следует, кстати, отметить, что однозначных предложений такого рода в документах БКБН вообще не встречается, и разговор обычно ведется с позиций пруденциальной организации внутрибанковских процессов, систем и процедур, реализуемых такими системами, и так называемой «лучшей практики» (без ее определения, естественно). Учитывая «надзорный» характер работы службы ВК в кредитной организации, легко прийти к заключению о пригодности рассматриваемых рекомендаций и их интерпретации для определения содержания процесса ВК в высокотехнологичной кредитной организации.
Можно заметить, что БКБН изначально строит свои Рекомендации так, как будто организация и содержание деятельности СВК в кредитных организациях совершенно не зависят от того, какие именно банковские информационные технологии ими применяются. С этим вполне можно было бы согласиться, но только в случае рассмотрения проблематики ВК с самых общих позиций. В то же время, находясь на таких позициях, в условиях ДБО невозможно определить не только четкие требования к внутрибанковским процессам и процедурам, так или иначе связанным с ВК, но даже пути и подходы к их организации, не говоря уже о такой «конкретике», как, например, квалификационные требования к персоналу СВК, его профессиональной подготовке и к сопровождению ДБО. В рассматриваемом материале прямо сказано, что «данное руководство не акцентируется на специфических областях или деятельности банковской организации», поскольку конкретная реализация ВК «зависит от характера, сложности и рисков, связанных с деятельностью определенного банка». В то же время в основаниях для излагаемого БКБН подхода отмечается, что «…системы контроля, хорошо работающие в случаях предоставления традиционных или простых услуг, могут оказаться непригодными при предоставлении более сложных или комплексных услуг». Тем не менее содержание ВК концентрируется именно на деятельности кредитной организации (а не только на выполняемых ею операциях) и служит управлению ею (хотя и опосредованно, но явно — в плане ИСУ и ППР), а поэтому возникает закономерный вопрос: как все-таки учитывать в его проведении характер, сложность и риски, связанные с электронным банкингом?
Ниже проводится рассмотрение предлагаемых БКБН принципов, описывающих организацию ВК, которые каждая кредитная организация может использовать для формирования собственной действенной методики осуществления ВК (изложив ее во внутренних документах, представляемых службе банковского надзора) и дополнения ее такой методикой выявления, оценки, анализа, мониторинга банковских рисков и управления ими, которая будет максимально учитывать особенности построения банковских автоматизированных систем, архитектур их вычислительных сетей, систем электронного банкинга и АЛО, на котором эти системы базируются. Сказанное относится и к реинжинирингу СВК кредитной организации в целом в связи с внедрением ТЭБ, что определяется решениями ее высшего руководства в соответствии с внутрибанковским мета-процессом, связанным с переходом к ДБО.
Принцип 1. Совет директоров должен нести ответственность за утверждение и периодическую проверку общей бизнес-стратегии и наиболее важных политических решений для банка, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков и гарантирование того, что высшее руководство принимает необходимые меры для идентификации, измерения, мониторинга и контроля этих рисков, утверждение организационной структуры, а также обеспечение мониторинга со стороны высшего руководства эффективности системы внутреннего контроля. Совет директоров является в конечном счете ответственным за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля.
Анализируя содержание этого принципа, можно предположить, что система ВК может считаться эффективной, если в результате ее работы агрегированный риск, принимаемый кредитной организацией, окажется равным так называемому «чистому риску», который определялся ранее. Отсюда следует вывод, что в руководящие органы этой организации должны входить специалисты, разбирающиеся и в банковских рисках, и в их источниках, и в измерении рисков, и в мероприятиях по воздействию на источники рисков с целью исключения или снижения их влияния на результаты принятия решений (в рамках ПСУ). В органах банковского регулирования и надзора США считается, что такие руководители в административной иерархии кредитной организации соответствуют по уровню вице-президенту и менеджеру отдельного бизнес-направления (который определяется как «Chief Executive Officer»[160]).
В комментариях к этому принципу отмечается, что «совету директоров банка рекомендуется включить в свою деятельность в части ВК:
1) регулярное обсуждение с руководством эффективности системы ВК;
2) своевременные запросы оценок средств ВК со стороны руководства, внутренних и внешних аудиторов;
3) периодический контроль выполнения руководством рекомендаций аудиторов и надзорных органов по устранению недостатков В К;
4) периодическую проверку следования стратегии банка и ограничению уровней банковских рисков»
Здесь же упоминается возможность формирования в помощь совету директоров кредитной организации дополнительного контрольного органа — «аудиторского комитета», который «должен состоять из независимых директоров, имеющих представление о финансовой отчетности и средствах ВК». В обязанности этого комитета входят контроль финансовой отчетности и наблюдение за функционированием СВК. По-видимому, в дальнейшем (в формулировке принципа 11) именно эта функция обозначается как «мониторинг внутреннего контроля». Однако одновременно говорится, что «аудиторский комитет, как правило, наблюдает за деятельностью департамента внутреннего аудита банка, непосредственно взаимодействует с ним, а также осуществляет основное взаимодействие с внешними аудиторами». Про СВК не сказано ничего, вследствие чего ситуация с множащимися контрольными органами представляется несколько запутанной.
Как бы то ни было, относительно электронных банковских технологий сказанное выше означает, что и в совете директоров кредитной организации, и в ее высшем руководстве (да, пожалуй, и в аудиторском комитете) крайне желательно присутствие таких специалистов, которые имеют представление о распределенных компьютерных системах в целом, о построении информационных контуров банковской деятельности и о тех угрозах безопасности, целостности операций и данных, как факторах риска, которые типичны для таких контуров (что позволяет провести параллели с материалом в Risk Management Principles for Electronic Banking). На практике такая компетентность проявляется по-разному: в принятии обоснованных стратегических решений относительно внедрения технологий ДБО как таковых и их отдельных вариантов (в общем случае, с исключением повышения уровней банковских рисков, рассматривавшихся в главе 2), проведения соответствующей маркетинговой компании, определения тарифных планов, содержания договоров с клиентами, контрагентами и другими провайдерами (с позиций удержания уровней типичных банковских рисков в допустимых пределах), реализации функций ОИБ, ВК и ФМ и т. п. При этом само понятие адекватности ВК предполагает, что все перечисленное будет относиться и ко всем видам банковских операций, выполняемых кредитной организацией, и к предоставляемым ею видам обслуживания клиентов, причем с помощью всех используемых средств автоматизации этого обслуживания (ИКБД). Наконец, предполагается, что конкретные представители высшего руководства кредитной организации способны предъявить требования как к составу и организации СВК, так и к составу используемого АПО, а также убедиться в том, что эти требования реально выполняются (сказанное относится к так называемому «мониторингу системы ВК», о чем идет речь в Положении 242-П).
Принцип 2. Высшее руководство должно нести ответственность за реализацию стратегии и политики, утвержденных советом директоров, разработку процессов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком, поддержание организационной структуры, обеспечивающей четкое распределение ответственности, полномочий и подотчетности, гарантирование эффективного выполнения делегированных полномочий, внедрения надлежащей политики внутреннего контроля, а также мониторинг адекватности и эффективности системы внутреннего контроля.
В комментариях к этому принципу постулируется, что высшее руководство кредитной организации несет ответственность за выполнение директив совета директоров, включая реализацию стратегии и политики, а также за организацию эффективной СВК. Вместе с тем указывается, что «члены высшего руководства обычно делегируют ответственность за внедрение специальной политики и процедур ВК, связанных со специфической деятельности тех или иных подразделений банка, на руководителей этих подразделений, при сохранении наблюдения над ними». Здесь заложено (и далее просматривается практически во всех остальных принципах) коренное отличие от подхода к организации ВК в отечественных кредитных организациях, а именно «распределение» функций ВК практически по всему персоналу кредитной организации вместо формирования в ней специализированного подразделения В К, подчиняющегося непосредственно высшему руководству и являющегося ядром СВК[161].
В то же время, поскольку применение ТЭБ затрагивает работу нескольких структурных подразделений кредитной организации, логично использовать аналогичное предложенному БКБН распределение функций ВК. Чтобы процесс ВК автоматизированной и распределенной через ИКБД банковской деятельности охватывал все внутрибанковские процессы, процедуры и функции, выполняемые кредитной организацией, наряду с внутренними и внешними взаимосвязями, служба ВК должна располагать возможностями, механизмами и средствами адекватного информационно-аналитического обеспечения своей деятельности. Следствием этого становится гарантированно полное и своевременное информационное обеспечение руководства организации, без которого невозможно принятие правильных решений в отношении выявления, анализа, мониторинга источников компонентов банковских рисков и управления ими. Поэтому, учитывая ролевую функцию службы ВК в процессе ППР, логично рассматривать эту службу как некий информационно-аналитический центр, оснащенный «датчиками», расположенными в других подразделениях кредитной организации, имеющих отношение к осуществлению и обеспечению ДБО. При этом структура СВК может быть условно представлена схемой на рис. 5.7.
Здесь СВК интерпретирована как служба ВК с элементами ВК, внедренными в функциональные процессы других структурных подразделений кредитной организации.
Все перечисленные во втором принципе меры должны быть документированы, и важность этого подчеркивается в Рекомендациях, равно как и значимость доведения политики кредитной организации и описаний организованных в ней процессов и процедур до ее персонала, что важно для иерархии полномочий и подотчетности. При этом обращается внимание на то, что «…распределение обязанностей и ответственности должно быть таким, чтобы гарантировалась непрерывность подотчетности и чтобы эффективный управленческий контроль распространялся на все уровни банка и виды его деятельности». Надо заметить, что для охвата всего ИКБД документарное обеспечение должно быть весьма развитым, для высшего руководства это означает также и развитый внутрибанковский механизм, с помощью которого будет осуществляться управленческое наблюдение — решение о его создании требует коллегиального принятия и реализации.
Принцип 3. Совет директоров и высшее руководство отвечают за поддержание высоких стандартов этики и честности, а также за внедрение такой культуры в организации, которая подчеркивала бы и демонстрировала бы важность внутреннего контроля для персонала всех ее уровней. Все сотрудники банковской организации должны понимать свою роль в процессе внутреннего контроля и быть полностью вовлечены в этот процесс.
В условиях электронного банкинга поддержание стандартов, о которых говорится в третьем принципе, становится непростой задачей, во-первых, из-за специфики информационного взаимодействия между кредитной организацией и ее клиентами через киберпространство, во-вторых, из-за возможности НСД, как говорят, к «чувствительной» клиентской информации, мошеннических действий, хищений финансовых средств и скрытого осуществления «сомнительных» финансовых операций. Поскольку проявление «человеческого фактора» предвидеть крайне трудно, руководству высокотехнологичной кредитной организации лучше не уповать на честность, а позаботиться о максимально широком соответствии банковской деятельности и условий использования каждой СЭБ принципу «четырех глаз». Не менее важна разработка полноценных программ ВК (особенно в части аудита ИТ), охватывающих все каналы ДБО, информационные сечения между автоматизированными системами, сетевые кабельные подключения и автоматизированные рабочие места персонала (прежде всего те, которые предназначены для выполнения функции администрирования информационно-процессинговых ресурсов организации).
Акцент на этом целесообразно сделать в положениях о СБ и о службе ВК, а также отразить соответствующий подход в «Положении о системе внутреннего контроля» кредитной организации, «Положении об управлении банковскими рисками» и «Политике обеспечения информационной безопасности». Надо подчеркнуть, что внедрение каждой новой ТЭБ и реализующей ее СЭБ, даже если такие системы однородны (как, например, системы интернет-банкинга для юридических и физических лиц), должно бы сопровождаться проявлениями мета-процесса в отношении упомянутых документов и процедур в составе соответствующих внутрибанковских процессов. Впрочем, сказанное здесь не исключает пропагандирование моральных и этических корпоративных ценностей, только в условиях применения ТЭБ его лучше строить таким образом, чтобы не натолкнуть кого-либо из ответственных исполнителей на мысль об использовании возможностей виртуального пространства в личных целях, отличающихся от корпоративных.
Принцип 4. Чтобы система внутреннего контроля была эффективной, требуется распознавать и постоянно оценивать материальные риски, которые могут негативно повлиять на достижение целей банка. Это оценивание должно охватывать все риски, с которыми сталкивается банк и консолидированная банковская организация (а именно, кредитный риск, страновой и трансферный риск, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и репутационный риск). Может потребоваться пересмотр средств внутреннего контроля в интересах правильного реагирования на новые или ранее неконтролируемые риски.
В комментариях к этому принципу говорится следующее: «Банки заняты бизнесом, связанным с принятием рисков. Поэтому принципиально важно, чтобы в рамках системы внутреннего контроля эти риски распознавались и оценивались на постоянной основе. С позиций внутреннего контроля при выявлении рисков должны идентифицироваться и оцениваться внутренние и внешние факторы, которые могут негативно повлиять на достижение функциональных, информационных и правовых целей банковской организации». В этом принципе намечено нечто более конкретное сравнительно с предыдущими — эффективность включает выявление, распознавание + непрерывное оценивание всех материальных рисков, без чего эффективность не может быть достигнута (приведенный состав банковских рисков отличен от предложенных в книге).
Указывается также, что «эффективное выявление рисков предполагает идентификацию и изучение внутренних факторов (таких как сложность организационной структуры, характер банковской деятельности, качественный состав персонала, организационные изменения и текучка кадров), равно как и внешних факторов (таких как вариации финансовых условий, изменения в данной сфере и технологические усовершенствования), которые способны негативно повлиять на достижение банком своих целей». При этом выявление риска следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе — в случае многофилиальных организаций (о чем дополнительно будет сказано в параграфе 5.6). Остальное содержание этого принципа, по существу, уже было прокомментировано в параграфе 5.2.
Принцип 5. Работа по осуществлению контроля должна входить в повседневную деятельность банка. Чтобы система внутреннего контроля была эффективной, требуется должная структура контроля с определением контрольных мероприятия для каждого уровня бизнеса. В их число следует включить проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.
Этим принципом введен еще один компонент, определяющий эффективность ВК, — должная структура контроля. Это означает, что с самого начала контрольная деятельность планируется и реализуется для снижения уровней рисков, которые банк идентифицирует. Такая деятельность осуществляется в два этапа: 1) разработка соответствующей «политики» и процедур контроля; 2) подтверждение того, что указанные политика и процедуры действуют. Контролем также предлагается охватывать все уровни персонала в кредитной организации: от высшего руководства до операционистов. В комментариях к этому принципу электронные банковские технологии не упоминаются, а значит, банковские специалисты, входящие в СВК, в случае внедрения конкретной ТЭБ должны руководствоваться своими представлениями, а высшему руководству ВК придется принимать решение относительно степени адекватности новых подходов к его осуществлению принципам БКБН. Можно представить также квалификационные требования к таким специалистам. В Рекомендациях приведены следующие примеры контрольной деятельности:
проверки высшего уровня — совет директоров и высшее руководство требуют отчеты о работе, позволяющие проверять, насколько текущая деятельность в банке соответствует поставленным целям. При этом имеет место интенсивное взаимодействие с менеджерами среднего звена, в ходе которого могут выявляться недостатки в контроле, ошибки в отчетности или мошенничества;
средства оперативного контроля — руководство департаментов или управлений получает и проверяет стандартизованные отчеты о текущей работе на ежедневной, еженедельной или ежемесячной основе в зависимости от особенностей бизнес-направлений. Собственно контроль реализуется при взаимодействии руководства с отчитывающимся персоналом по схеме «вопрос — ответ»;
средства физического контроля — они обычно ориентированы на ограничение доступа к активам, включая наличные и ценные бумаги. В собственно деятельность включены физические ограничения, двойная защита и периодическая инвентаризация;
соблюдение установленных ограничений — имеется в виду подверженность риску, например, установление лимитов для заемщиков (в плане кредитного риска) и диверсификация профиля риска[162];
утверждение и авторизация — в отношении конкретных транзакций, особенно выходящих за установленные пределы, трактуется как информирование руководства соответствующего уровня, утверждающего эти действия, о том, что такие случаи имеют место.
Эти и другие, менее существенные действия ставят перед ВК серьезные задачи. К примеру, необходимо убедиться в том, что формируемые из виртуального пространства БАС финансовые и другие отчеты (неважно, с какой периодичностью) содержат достоверную информацию. В СВК в этом случае необходимо включать внедренные в СЭБ и БАС средства подтверждения целостности записей в компьютерных базах данных, файлах системных и аудиторских журналов и пр. и собственные средства проверки при необходимости выполнения правил учета, обработки, хранения ордеров клиентов. Если же какой-либо клиент осуществляет крупные и (или) сомнительные операции, подпадающие под юрисдикцию службы ФМ (о чем, кстати, в Рекомендациях ничего не сказано, хотя ПОД/ФТ охватило весь мир), то, в общем случае, необходимы средства автоматизированного программного контроля в БАС, а следовательно, их надо проектировать, разрабатывать, проверять, равно как определять возможности контроля их функционирования, предусмотрев в АС соответствующие «контрольные точки» и индикаторы, сообщающие о подозрительных операциях, и многое другое.
В добавление к сказанному отмечается, что «…руководство банка обязано регулярно убеждаться в том, что работа на всех участках банка ведется в соответствии с установленными политикой и процедурами, а те в свою очередь остаются адекватными. В этом обычно заключается главная роль функции внутреннего аудита». Учитывая комментарии к первому принципу, нетрудно представить требуемый уровень компетентности руководства кредитной организации и службы ВК, равно как и ее специалистов, а также требования к их технологическому и техническому оснащению, программам и методикам проведения проверок и т. п.
Принцип 6. Чтобы система внутреннего контроля была эффективной, требуется надлежащее разделение обязанностей. На персонал не должны возлагаться конфликтующие обязанности. Области потенциальных конфликтов интересов следует идентифицировать, минимизировать и обеспечить их тщательный независимый мониторинг.
Этим принципом определяется еще один компонент эффективности ВК — надлежащее разделение обязанностей, которое предназначено прежде всего для снижения вероятности финансовых потерь. Смысл его в том, чтобы лица, осуществляющие управление финансовыми средствами, не могли тайно воспользоваться ими в личных целях, а лица, ответственные за операции, следствием которых могут быть финансовые потери, не имели возможности их скрыть. Этот принцип подтверждает целесообразность активного участия службы ВК (и СБ) в ЖЦ внедряемой СЭБ с самого начала, чтобы предусмотреть правильное разделение прав и полномочий доступа к внутрибанковским компьютерным системам, операционному программному обеспечению, файлам банковских данных и регламентных отчетов, а также наличие физических и логических (программных) средств ограничений возможностей пользователей БАС и СЭБ вместе с порядками их внедрения, сопровождения, изменения и т. п. Тем самым будет оказано содействие требуемому разделению обязанностей с «контрольного» уровня, учитывая, что в части идентификации и минимизации таких проблемных областей конкретных предложений в Рекомендациях нет, а мониторинг их должен осуществляться «независимой третьей стороной».
Кроме того, в комментарии к этому принципу сказано, что «.. должны осуществляться периодические проверки обязанностей и функций основных исполнителей, чтобы у них не было возможностей скрыть непредусмотренные действия». Фактически такие процедуры реализуются действиями администраторов автоматизированных систем и информационной безопасности, поэтому к ним, к их должностным обязанностям (равно как и к их исполнению) руководству кредитной организации целесообразно привлекать внимание службы ВК, не забывая о значимости следования принципу «четырех глаз». Последнее необходимо документировать в положениях о «заинтересованных» структурных подразделениях кредитной организации и должностных инструкциях ответственных исполнителей, о чем также логично позаботиться исполнительным органам, которые руководствуются содержанием упоминавшегося внутрибанковского мета-процесса.
Принцип 7. Чтобы система внутреннего контроля была эффективной, требуется адекватная и полная внутренняя финансовая, операционная и правовая информация, равно как и внешняя рыночная информация о событиях и условиях, которые следует учитывать при принятии решений. Информация должна быть надежной, своевременной, доступной и предоставленной в требуемом формате.
В комментариях к этому принципу, кроме повторения его содержания, говорится только о том, что должны иметься процедуры для поддержания и сохранения записей (какие и каких — не уточняется). Исходя из изложенного в главах 3 и 4, руководству и специалистам ВК целесообразно вместе с сотрудниками подразделений ИТ и СБ определить внутрисистемные информационные сечения и контрольные точки, в которых они смогут считывать требуемую им контрольную информацию (помимо упоминавшихся типовых процедур организационного и документарного характера). Состав соответствующих финансовых, операционных, клиентских и служебных (и сеансовых — в случае ДБО) данных предпочтительно зафиксировать документально и, скорее всего, оформить как сведения ограниченного распространения. Необходимо помнить, что методы и содержание проверок не должны быть общедоступными, чтобы знания о них не были использованы в попытках осуществления противоправных действий или сокрытия совершенных ошибок, для чего любая ТЭБ и виртуальное пространство БАС зачастую предоставляют разнообразные возможности.
Принцип 8. Чтобы система внутреннего контроля была эффективной, требуются надежные информационные системы, охватывающие все важные направления деятельности банка. Эти системы, включая те, в которых данные хранятся и используются в электронной форме, должны быть защищены, независимо контролируемы и поддержаны адекватными мерами на случай непредвиденных обстоятельств.
Критическим компонентом обеспечения надежности банковской деятельности является организация и сопровождение ИСУ, которая охватывает все процессы в кредитной организации. В Рекомендациях отмечается, что «банки должны уделять особое внимание… требованиям внутреннего контроля, относящимся к обработке информации в электронной форме и наличию адекватных аудиторских записей. От плохо спроектированных и недостаточно контролируемых систем может поступать ненадежная и вводящая в заблуждение информация, что способно негативно повлиять на принятие решений руководством». Там же говорится о необходимости принимать меры для обеспечения бесперебойной работы информационных систем, чтобы избежать прерывания операций и возможных потерь. Поскольку в настоящее время банковские компьютерные системы стали распределенными, особенно за счет вовлечения в обработку транзакций и данных организаций-провайдеров, число факторов риска увеличилось, и соответственно могут значительно возрасти уровни банковских рисков, связанных как с автоматизированными системами, так и с ИКБД в целом. Поэтому пропорциональное расширение сферы ответственности ВК неизбежно, поскольку, несмотря на решения части задач подразделением ИТ и СБ, первое из них, как правило, уделяет больше внимания БАС и СЭБ, а второе — вопросам инкассации и физической безопасности кредитной организации. При этом критично важным становится ведение системных логов и аудиторских трейлов, в файлах которых фиксируются операции пользователей БАС и СЭБ. Но даже при полном охвате этими службами всех функциональных участков электронного банкинга необходим внешний по отношению к их деятельности контроль, который является прерогативой ВК.
В Рекомендациях поясняется, что средства контроля над информационными системами и технологиями должны включать как общие, так и прикладные средства. Под общими средствами контроля понимаются те, которые относятся к компьютерным системам (например, мэйнфреймам и серверам, взаимодействию клиент — сервер, сетевым экранам, рабочим станциям и т. п.) и обеспечивают их непрерывное правильное функционирование. Общие средства контроля включают внутрибанковские процедуры мониторинга и восстановления функционирования, политику информатизации (разработки и приобретения программного обеспечения), процедуры сопровождения (контроля изменений), также средства контроля физического/логического доступа к БАС, СЭБ, ЛВС, ЗВС и пр. Прикладные средства (в соответствии с Положением 242-П) имеют вид «встроенных в служебное программное обеспечение или выполняемых вручную процедур, которые контролируют обработку транзакций и деловые операции. В прикладные средства контроля входят, например, проверка ввода и специфическое управление логическим доступом, уникальное для той или иной системы». При отсутствии адекватных средств контроля над информационными системами и технологиями, включая разрабатываемые системы, банки подвергаются опасности потери данных и программ из-за недостаточности мер физической и логической защиты, отказов оборудования или систем, а также неполноты собственных процедур резервирования и восстановления функционирования. В Рекомендациях отмечается, что «планирование на случай форс-мажорных обстоятельств следует осуществлять по всему банку, с привлечением руководителей направлений бизнеса, не ограничиваясь только централизованными операциями». Что касается самих планов, то их следует периодически оценивать на «функциональность», исходя из возможных внезапных катастрофических событий.
Принцип 9. Чтобы система внутреннего контроля была эффективной, требуются эффективные каналы взаимодействия, обеспечивающие полное понимание и приверженность персонала политике и процедурам, определяющим их обязанности и ответственность, а также доведение информации, имеющей к ним отношение, до соответствующего персонала.
Комментарий этого принципа начинается с постулата «информация бесполезна, если отсутствуют средства ее эффективного доведения». В обязанности руководства вменяется применение таких способов коммуникаций, которые гарантировали бы получение требуемой информации теми, для кого она предназначена. Это утверждение относится к информации как о принятых политике и процедурах кредитной организации, так и о ее реальном функционировании и прямо зависит от организационной структуры, которая должна обеспечивать должное прохождение информационных потоков в соответствующей иерархии «сверху — вниз, снизу — вверх и по горизонтали». Главное — «совет директоров и высшее руководство должны быть в курсе работы банка и деловых рисков и уверены в том, что необходимая информация доводится до руководителей нижнего звена и операционного персонала».
Принцип 10. Следует осуществлять на постоянной основе мониторинг эффективности средств внутреннего контроля банка. Мониторинг основных рисков должен быть составной частью повседневной деятельности в банке, так же как периодическое оценивание направлений бизнеса и внутренний аудит.
Этот и все оставшиеся принципы не имеют непосредственного отношения к ВК и связаны с деятельностью «вокруг» него. Они ориентированы, по-видимому, преимущественно на содержание контрольных функций в отношении кредитной организации (в части ВК), реализуемых органом банковского надзора.
Считается, что, поскольку банковское дело является динамичным и быстро развивающимся, «банкам необходимо осуществлять постоянный мониторинг и оценивание своих систем внутреннего контроля с точки зрения изменений во внутренних и внешних условиях и совершенствовать эти системы в целях поддержания их эффективности». При этом руководство кредитной организации должно четко определить, кто за такой мониторинг отвечает, — это может быть, например, служба внутреннего аудита, а осуществляться он должен на повседневной основе исходя из «состава наблюдаемых рисков, частоты и характера изменений в операционной среде». В части внедрения и развития ТЭБ, безусловно, целесообразно вовлечение службы ВК в эти процедуры, поскольку невозможно контролировать применение новых технологий без ознакомления с ними. Это тем более важно, что современные аппаратно-программные комплексы развиваются столь быстро, что не всегда компании-разработчики успевают полно и качественно провести даже альфа-тестирование, не говоря уже о бета-тестировании. Не менее важно участие ВК в процедурах «стыковки» каждой новой АС с уже действующими, так как это всегда связано с проблемами обеспечения совместимости АПО разных версий и степеней сложности или разных операционных систем. Даже если специалисты ВК не обладают всей полнотой технических знаний (а их профессиональная переподготовка должна быть регулярной — в соответствии с мета-процессом), все равно им следует требовать от специалистов технического плана подтверждения достаточности встроенных или дополнительных (внешних) средств контроля функционирования вновь внедряемой АС и проведения полноценных ПСИ.
Достоинство текущего мониторинга ВК, как отмечается в Рекомендациях, состоит в том, что он позволяет быстро обнаружить и скорректировать недостатки в СВК, однако скорее сами специалисты ВК выявят нехватку какой-либо профессионально необходимой информации, чем какая-либо внешняя по отношению к ним служба (которая должна в этом случае характеризоваться еще более высокой квалификацией, чем внутренние контролеры). Это относится прежде всего к самооценке используемых средств контроля, а также условий, в которых они применяются. В пределе максимальная эффективность ВК достигается только в том случае, если его средства «интегрированы» в бизнес-процессы, в операционную среду кредитной организации и имеется возможность формирования оперативных контрольных отчетов, содержащих всю необходимую информацию для полноценного контроля функционирования автоматизированных систем, используемых кредитной организацией, в чем должно быть заинтересовано ее руководство.
Принцип 11. Должен быть организован эффективный и полноценный внутренний аудит системы внутреннего контроля, осуществляемый функционально независимым, прошедшим должную подготовку и компетентным персоналом. Те, кто осуществляет функцию внутреннего аудита как части мониторинга системы средств внутреннего контроля, должны отчитываться непосредственно перед советом директоров или его аудиторским комитетом и перед высшим руководством.
Независимая от рабочих подразделений кредитной организации функция внутреннего аудита, имеющая доступ ко всей его банковской деятельности, включая филиалы, считается важной частью текущего мониторинга системы средств ВК, поскольку она «обеспечивает независимое оценивание соответствия установленным политике и процедурам». Оценка работы соответствующей службы должна даваться советом директоров или высшим руководством, определяющими также ее финансирование, причем независимо от руководителей контролируемых подразделений. Других комментариев БКБН к этому принципу не дает, хотя возникают как минимум три вопроса: а) целесообразно ли дублирование службой внутреннего аудита (ВА) процедур ВК и если да, то в какой мере; б) какой должна быть квалификация специалистов этой службы, если в случае, скажем, применения ТЭБ в службе ВК и так должны быть представлены как минимум финансовая, техническая (с ориентацией на компьютерные технологии) и юридическая квалификации; в) какова должна быть компетентность представителя руководства кредитной организации, который будет оценивать результаты внутреннего аудита? Вероятно, более уместным было бы разделение функций обеих служб таким образом, чтобы сотрудники ВК больше ориентировались на организационные, технологические (в широком смысле) и технические аспекты банковской деятельности, а ВА — на административные, финансовые и правовые вопросы, хотя готовых решений в этой части на сегодняшний день, похоже, еще не найдено, вследствие чего в других, не рассматриваемых здесь работах БКБН встречаются и не согласующиеся с рассмотренными положения.
Принцип 12. О недостатках во внутреннем контроле независимо от того, выявлены они по направлениям бизнеса внутренним аудитом или другим персоналом, выполняющим контрольные функции, следует своевременно и адресно докладывать на соответствующем управленческом уровне. О значимых недостатках во внутреннем контроле следует докладывать высшему руководству и совету директоров.
В комментарии к этому принципу отмечается, что после выявления недостатков в работе ВК действия руководства кредитной организации по исправлению ситуации должны быть «адекватными и своевременными». Внутренним же аудиторам следует осуществлять последующий контроль и устанавливать, все ли недостатки исправлены, докладывая об этом руководству и документируя все проблемы и корректирующие мероприятия.
Принцип 13. Органам надзора следует требовать, чтобы все банки, независимо от их размера, имели систему средств внутреннего контроля, соответствующую характеру, сложности и риску, присущему их балансовым и внебалансовым операциям, которая адаптировалась бы к изменениям в самом банке и внешних условиях. В тех случаях, когда надзорным органом устанавливается, что система внутреннего контроля банка не является адекватной или эффективной с точки зрения конкретного профиля риска банка (например, учитывает не все принципы, изложенные в настоящем документе), им должны приниматься соответствующие меры.
Построение СВК кредитной организации, ее адекватность содержанию банковской деятельности и эффективность, а также реакция руководства на результаты ее функционирования «должны оцениваться органом банковского надзора на основе риск-ориентированного подхода». При этом особо отмечается, что «должны оцениваться средства контроля в областях повышенного риска (как то, деятельность, характеризуемая необычной доходностью, быстрым развитием, новыми бизнес-решениями, географической удаленностью от головного офиса)». Можно предположить, что последние два примера непосредственно относятся к ДБО. Далее сказано, что «…изменения в условиях работы банка следует подвергать специальному рассмотрению». К этим изменениям отнесены:
1) изменения в операционных условиях;
2) прием нового персонала;
3) внедрение новой информационной системы или ее модернизация;
4) быстрое развитие какой-либо области деятельности;
5) внедрение новых технологий;
6) появление новых услуг, видов обслуживания или деятельности;
7) корпоративная реструктуризация, слияния и приобретения;
8) внедрение или расширение зарубежных операций.
Очевидно, что практически три четверти перечисленных изменений можно прямо отнести к внедрению или расширению применения технологий электронного банкинга. Что касается «соответствующих мер», то под ними понимаются информирование руководства кредитной организации о выявленных проблемах и мониторинг мероприятий, проводимых им для устранения недостатков ВК. Соответственно сотрудникам СВК следует быть готовыми к тому, что все связанное с новыми банковскими информационными технологиями, особенно в современных условиях с технологиями ДБО, привлечет внимание банковского надзора.
В завершение рассмотрения можно заметить, что в последние годы получают распространение так называемые «трансграничные» банковские операции, совершаемые кредитными организациями в электронной форме в рамках ДБО. Дополнительный стимул к их развитию дала такая его разновидность, как интернет-банкинг. Этому направлению в настоящее время уделяется повышенное внимание органов банковского и финансового надзора разных стран в связи с целым рядом потенциальных проблем ДБО, а именно его правовой неурегулированностью на локальных и международном уровнях, прохождением транзакций через процессинговые центры, расположенные на территории разных государств, возможностями его использования для «отмывания» денег и пр. Поэтому в современных условиях перед последним, 13-м принципом Рекомендаций можно было бы добавить еще один принцип, формулировка которого получена на основе положений более поздних публикаций БКБН:
Банкам следует интегрировать в свою систему управления рисками те риски, которые могут оказаться связаны с трансграничным банковским обслуживанием через каналы электронного банкинга. Все процедуры управления такими рисками, как риск ликвидности, операционный, правовой, репутационный, страновой и стратегический риски, необходимо адаптировать с позиций обеспечения выполнения обязательств перед клиентами, адекватного раскрытия информации о банковской деятельности и организации надлежащих процессов контроля управления рисками и оценки его качества до того, как приступать к трансграничному обслуживанию с помощью технологий электронного банкинга.
Трансграничная активность в рамках ДБО постоянно увеличивается в последнее время, поскольку пользование таким обслуживанием расширяется во многих странах и Россия не является исключением. Причем наблюдается стабильный рост пользователей Интернета, которые охотно используют эту разновидность ДБО ввиду предоставляемых ею удобств для доступа к банковским услугам. Не исключено, что в скором времени, учитывая результаты либерализации российского валютного законодательства, клиенты будут обращать все меньше внимания на то, в какой конкретно стране мира расположен банк, услугами которого они предполагают воспользоваться.
На основе проведенного рассмотрения уместно сделать еще два принципиальных замечания по существу вопроса модернизации ВК как процесса, СВК как «общебанковской» структуры и обеспечения совокупной квалификации входящих в нее специалистов кредитной организации, внедряющей ТЭБ, а именно:
1) кредитные организации могут неадекватно оценивать надежность (качество) процесса ВК (и ФМ), вследствие чего могут смещаться профили и повышаться уровни банковских рисков;
2) контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса ВК способам и условиям осуществления ими своей банковской деятельности.
На обеих проблемах в последние годы зарубежными органами финансового контроля (в широком смысле) делаются серьезные акценты.
В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов[163], основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г.[164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям:
В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей[165]. Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией CISA — «Сертифицированный аудитор информационных систем» и CISM — «Сертифицированный менеджер информационных систем»[166]. Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных систем всегда делается акцент в литературе, посвященной аудиту ИТ, составляющих основу современного бизнеса’. По существу ни одна системная разработка, АС или СЭБ не должны внедряться в кредитной организации без участия специалистов ВК, причем их участие необходимо с начала проектирования таких систем, как об этом было сказано выше. В книге Davis С., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets, представляющей собой отличное введение в аудит ИТ, указывается, что ВК «должен быть не частью проблемы, а частью ее решения». При этом его специалистам следует присутствовать на всех важных совещаниях по вопросам автоматизации, они должны активно участвовать в обсуждении предусматриваемых в автоматизированных системах средств контроля и ни в коем случае не «занимать позицию мухи на стене». Стоит добавить, что такую ролевую функцию ВК руководству кредитной организации целесообразно предусмотреть в ее «Положении о службе внутреннего контроля» (на основе риск-ориентированного подхода) и должностных инструкциях ответственных менеджеров и исполнителей.
В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:
над содержанием и ведением web-сайта, используемого кредитной организацией;
бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;
функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации;
поставщиками программного обеспечения интернет-банкинга;
мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.
Тем самым должна обеспечиваться контролируемость в целом информационного контура интернет-банкинга, используемого кредитной организацией.
Что касается адаптации ВК, то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен рассмотренному в отношении процесса ОИБ. Он строится, как предлагалось выше, исходя из содержания жизненного цикла процесса ВК в отношении, в данном случае, систем ДБО. В целом он заключается в выполнении совокупности опять-таки типовых, описанных во внутренних документах кредитной организации процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным в ней границам для уровней принимаемых банковских рисков.
В число типовых внутрибанковских процедур в части ВК целесообразно включать (как минимум):
разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь — технологии ДБО), т. е. участие в проектировании и разработке внутрибанковских систем;
контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, т. е. участие в ПСИ начиная со стадии подготовки их программ и методик;
регулярную проверку функциональности и надежности средств ВК, т. е. участие в эксплуатации и сопровождении автоматизированных систем, а также контроль над функционированием и состоянием аналогичных компьютерных систем провайдеров кредитной организации;
обеспечение адаптации мер по обеспечению управляемости и контролируемости ИКБД при модернизации автоматизированных систем и выводе их из эксплуатации и замене, а также при заключении контрактных отношений с новыми провайдерами (включая замену провайдера в интересах учета специфики той или иной организации).
Эти процедуры, как и в случае адаптации ОИБ, целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой кредитной организацией.
Точно так же «Положение о внутреннем контроле» (или его аналог) и связанные с ним внутрибанковские документы целесообразно пересматривать при внедрении каждой новой технологии электронного банкинга и реализующей ее системы и однозначно увязывать его содержание с содержанием «Положения об управлении банковскими рисками», включающего описания компонентов банковских рисков, ассоциируемых с электронным банкингом (как минимум операционного, правового, репутационного, неплатежеспособности и стратегического рисков). В «Положение о внутреннем контроле» кредитной организации целесообразно включить описание специальных функций контроля над управлением банковскими рисками, «привязав» их к конкретным системам электронного банкинга, а также над организацией ФМ и содержанием положения о его осуществлении в кредитной организации. Общая оценка значимости роли ВК с риск-ориентированных позиций в условиях применения и развития кредитными организациями технологий электронного банкинга может быть сформулирована следующим образом:
Недостатки в организации внутреннего контроля в условиях применения современных банковских информационных технологий могут оказаться наиболее серьезными источниками компонентов банковских рисков для кредитной организации и ее клиентов.
Новые информационные технологии и ассоциируемые с их применением в банковской деятельности потенциальные факторы возникновения источников компонентов банковских рисков «требуют» обеспечения гарантий адекватности ВК составу сложности и особенностям прежде всего технологий электронного банкинга, а также масштабам ДБО. Именно поэтому кредитным организациям, использующим в своей деятельности распределенные компьютерные технологии в «открытых системах», в условиях отсутствия (и невозможности) регламентации нормативными правовыми актами информатизации банковской деятельности необходимо разрабатывать новую индивидуальную методологию ее ВК начиная с применения ТЭБ. Кроме того, руководству высокотехнологичных кредитных организаций целесообразно помнить о том, что всегда остается вопрос: кто проверяет проверяющих?