Применение технологий электронного банкинга: риск-ориентированный подход

влияние традиционного наследия, о котором уже упоминалось: при внедрении ТЭБ стык гуманитарных (финансовых, экономических, юридических) и технических дисциплин (информатика, связь, информационная безопасность) не так легко сделать «безшовным».

Все упоминавшиеся ранее зоны концентрации источников банковских рисков и зоны ответственности кредитной организации в оптимальном варианте должны изучаться и анализироваться ее руководством (коль скоро именно по его решению клиентам этой организации предлагается ДБО), причем проводя четкие различия между этими зонами в ИКБД. Качество учета влияния этих зон и их характеристик[101] на деятельность и состояние кредитной организации зависит именно от осознания содержания ответственности и комбинации квалификаций ее директоров и высшего руководства, поэтому описываемые требования к этим лицам могут показаться завышенными, однако это — тоже неизбежная плата за риск.

Стратегический риск является первым из тех банковских рисков, которые реализуются вследствие недостаточной компетентности ответственных лиц, которые принимают решения относительно внедрения ТЭБ. Особенности же реализации таких решений могут оказаться завуалированными, скрытыми последствиями реализации типичных банковских рисков. Очевидно, что, принимая решение, скажем, о развертывании сети банкоматов, высшее руководство кредитной организации обязано предусмотреть все возможные первопричины и варианты реализации компонентов банковских рисков: нарушения работы АПО (самих банкоматов, БАС кредитной организации или процессингового центра), аварии линий связи, несвоевременное денежное подкрепление, отпуска ответственных лиц, аварии у провайдеров каналов связи, банкоматные мошенничества (включая появление новых программ-вирусов, с помощью которых совершаются хищения с карточных счетов клиентов) и многое другое вплоть до возможных «отказов в обслуживании» во время сильных морозов. Можно отметить, что эти «автоматические кассовые машины»[102] — технологически и технически не самый сложный вариант ДБО, хотя сам по себе далеко не простой (учитывая варианты аренды банкоматных сетей и управления ими через Интернет). В их АПО, кстати, основной акцент в последнее время делается кредитными организациями на развитии многофункционального банковского обслуживания, интегрирующего различные информационные технологии в интересах повышения эффективности и снижения рисков банковской деятельности. Совмещение кассовых, платежных, валютообменных, транзакционных и других операций в устройствах такого типа требует существенных изменений в подходе к выявлению, анализу, мониторингу компонентов типичных банковских рисков и управлению ими, которые должны находить отражение во внутрибанковском процессе УБР (в оптимальном варианте его организации).

В завершение анализа первого принципа корпоративного управления необходимо упомянуть о распределении обязанностей и ответственности в кредитной организации в части управления и в части контроля ТЭБ. Назначать на ответственные должности менеджеров высшего и среднего звена, равно как и на ключевые исполнительские, целесообразно сотрудников, обладающих знаниями и квалификацией, необходимыми для исполнения своих, зачастую сложных (поскольку сами ТЭБ такие) обязанностей. Понятно, что тот, кто осуществляет такие назначения, сам должен обладать квалификацией, достаточной для того, чтобы оценить квалификацию назначаемых сотрудников, причем до того, как они приступят к работе, а не после того, когда эта квалификация, вернее, ее отсутствие, проявит себя негативным образом. Соответственно и ролевые функции в части подбора персонала логично распределять на уровне высшего руководства с учетом профессиональных качеств каждого из его членов. Скорее, впрочем, наоборот: современное банковское дело — занятие весьма непростое и организационно, и технологически, и технически. Случайные люди вряд ли смогут заниматься им эффективно, имея в виду положительный эффект для клиентов кредитной организации, для нее самой и для контролирующих ее деятельность органов.

Принцип 2. Совету директоров следует утверждать и контролировать стратегические цели банка и корпоративные ценности, которые пропагандируются по всей банковской организации.

В комментариях к этому принципу акцент делается на том, что «совету директоров следует обеспечить внедрение высшим руководством стратегической политики и процедур, разработанных в интересах содействия профессионализму деятельности и целостности. Этому совету следует также гарантировать реализацию высшим руководством такой политики, которая запрещала бы (или должным образом ограничивала) деятельность, отношения или ситуации, которые могут ухудшить качество корпоративного управления». Упоминание о профессионализме более чем уместно в условиях применения ТЭБ кредитной организацией, но что это может или должно означать конкретно и что именно может негативно повлиять на качество корпоративного управления в этих условиях?! На такие вопросы не так легко найти ответы, как это может показаться при принятии решения о внедрении СЭБ.

Содержание понятия «корпоративные ценности» претерпевает расширение, тем более что негативное действие «человеческого фактора» никто не отменял, а в условиях применения ТЭБ это действие может оказаться завуалировано распределенными компьютерными системами и телекоммуникационными сетями, лежащими в основе реализации любой ТЭБ. Соответственно высшему руководству кредитной организации, вероятно, придется задумываться о том, насколько хорошо сможет оно контролировать приверженность этим ценностям специалистов в области компьютерных технологий (особенно уровня администраторов). Ситуация усугубляется тем, что деятельность таких специалистов в киберпространстве весьма далека от транспарентности, а отношение к таким сотрудникам нередко остается прежним, как к людям, говорящим на «птичьем языке». Тем самым, между прочим, демонстрируется «корпоративное непонимание» степени и серьезности зависимости кредитной организации и ее клиентов от компьютерных технологий.

Следует подчеркнуть, что значительная часть мероприятий, проводимых в обеспечение сохранения «корпоративных ценностей», обычно имеет запретительный или ограничительный характер. Поэтому руководству кредитных организаций приходится в новых условиях либо самому разрабатывать такие меры (а их неизбежно становится все больше и они становятся все «тоньше»), либо обращаться к специалистам, имеющим необходимую профессиональную подготовку. Если говорить о том, что в большинстве случаев причины «недостижения» стратегических целей связываются с некомпетентностью, халатностью и злым умыслом инсайдеров (персонала) кредитных организаций[103], то акцент делается на обеспечении гарантий информационной безопасности. Вследствие этого налагаются запреты на использование в кредитной организации мобильных носителей информации (флэш-карт, компакт-дисков, выносных накопителей на жестких дисках), доступ в Интернет в целом или отдельные его зоны, пользование устройствами мобильной компьютерной связи, подключение модемов, применение технологии виртуальных частных сетей (VPN) и т. п.

Это лишь еще один пример, а в общем случае если требуется обеспечить реализацию высшим руководством кредитной организации такой политики, которая должным образом ограничивала бы деятельность, отношения или принятие решений, которые могли бы снизить качество корпоративного управления, то необходим анализ конкретной формирующейся ситуации. Целесообразно понять, что это означает в конкретной кредитной организации, внедряющей определенную (и, возможно, заранее не очень хорошо изученную) ТЭБ и получающей вместе с ним некий ИКБД, простирающийся, возможно, до ее бэк-офиса. А самое главное — желательно отчетливо представлять себе, что именно может негативно повлиять на качество корпоративного управления в складывающихся условиях.

Принцип 3. Совету директоров следует устанавливать в организации четкую подчиненность и подотчетность и обеспечивать ее соблюдение.

В этой части постулируется, с одной стороны, то, что «эффективно действующие советы директоров четко определяют полномочия и распределение основной ответственности для себя, равно как и для высшего менеджмента. Они также понимают, что неопределенная подотчетность или же неясность, множественность иерархий ответственности может усугублять проблему из-за несвоевременных или ослабленных реакций». Очевидно, что для реализации первого положения члены совета директоров должны иметь отчетливое представление и об ответственности, и о полномочиях, которые касаются технологий, реализуемых в