Как показывает практика, внедрение новых банковских информационных технологий, таких как технологии электронного банкинга, может внести некий «сумбур» в налаженную банковскую жизнь. Как правило, специалистов, которые профессионально разбираются в этих технологиях, не хватает, что во многом объясняется попаданием в нашу страну таких технологий в основном из-за рубежа. Наблюдаются также активные попытки зарубежных компаний-разработчиков банковского программного обеспечения внедриться на российский рынок. Применение любой ТЭБ неизбежно связано с приобретением новой или совершенствованием имеющейся квалификации, вследствие чего задача распределения в кредитной организации ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности может оказаться достаточно непростой. Решать же ее, кроме высшего руководства этой организации, зачастую некому, если только не найдутся в ней энтузиасты, которые спасают ситуацию за счет личной инициативы. Однако, учитывая сложность ТЭБ, полагаться на энтузиазм и специалистов, которые, как нередко приходится слышать, «все знают, вот пусть и делают» — без точных указаний и бесконтрольно — дело рискованное, а наносимый в результате такой халатности ущерб зависит от того, в отношении каких именно массивов данных «сработает» человеческий фактор.
При недостатке понимания того, как функционируют внедряемые технологии и соответствующее АЛО СЭБ, многие компоненты рисков связаны с ошибками в упомянутом выше распределении. Как правило, недостатки в корпоративном управлении проявляются с начала внедрения ТЭБ. В оптимальном варианте руководство кредитной организации инициирует процесс разработки комплекта документарного обеспечения внедряемой ТЭБ (а это свидетельствует, что в его составе имеются лица, знающие о необходимости этого процесса и представляющие его содержание). К сожалению, до настоящего времени многое в области информационных технологий все еще делается, как говорят, «на коленях» и «с колес», что всегда приводит к реализации компонентов банковских рисков и соответственно финансовым потерям, причем о причинах этих потерь нередко даже не догадываются как раз те, кто должен был бы эти потери предотвратить.
Поскольку ТЭБ реализуются в виртуальном пространстве, еще на начальном этапе внедрения следует задуматься об их управляемости и контролируемости. Здесь распределение подчиненности и подотчетности целесообразно устанавливать таким образом, чтобы деятельность в этом пространстве ни в коем случае не зависела полностью от лиц, обладающих уникальными полномочиями в кредитной организации. Речь идет о повсеместно встречаемой чрезмерной концентрации полномочий в руках отдельных должностных лиц, чаще всего это администраторы различного назначения: системные, сетевые, информационной безопасности, баз данных и т. п. Членам высшего менеджмента кредитной организации целесообразно отчетливо понимать, что специалистами этого круга не так просто руководить, как, например, операционистами, деятельность которых ограничена функционалом интерфейса, с помощью которого они управляют банковскими платежными и другими технологическими процессами. Деятельность таких специалистов еще сложнее контролировать, особенно когда дело касается банковских информационных технологических процессов. Членам совета директоров целесообразно иметь отчетливое представление о том, возможно ли осуществление каких-либо несанкционированных действий с помощью ТЭБ (к примеру, в оказавшихся неподконтрольными информационных сечениях автоматизированных систем), а также о том, чем именно гарантируются полнота и целостность информации, получаемой для оценки финансовых результатов деятельности кредитной организации и в последующем служащей для принятия руководящих решений.
Делегирование ответственности в виртуальном пространстве, реализация которой требует незаурядной квалификации, стало в современном компьютерном мире серьезной проблемой двойственного характера, поскольку необходимо не только определить и распределить права и полномочия, но и обеспечить эффективный контроль за их использованием. ТЭБ принципиально осложняют ситуацию тем, что указанное распределение само оказывается распределенным: руководству кредитной организации целесообразно четко осознавать (и фиксировать это осознание во внутрибанковских документах), какие именно полномочия она «выпускает из рук», полагаясь на клиентов и провайдеров, а также какие средства компенсации утраты полного контроля за их деятельностью (хеджирования сопутствующих компонентов рисков) имеются в ее распоряжении.
Принцип 4.
В комментарии к этому принципу отмечается, что «членам совета директоров и высшего руководства, отвечающим за повседневное наблюдение над менеджментом в банке, следует обладать должной квалификацией, которая обеспечит управление назначенной им деловой активностью равно как и требуемый контроль над ключевыми исполнителями по данному направлению». Это положение имеет принципиальное значение при работе в высокотехнологичной среде, поскольку речь в этом случае идет о контроле над работой профессионалов в области компьютерных технологий, как правило, весьма высокой квалификации. Понятно, что для роста квалификации всегда существуют какие-то пределы, так что в ситуациях применения распределенных компьютерных систем необходимо известное усложнение
В этом принципе заложены очень важные идеи преемственности и обеспечения ее на разных уровнях иерархии кредитной организации. В то же время упоминавшийся ранее разрыв между традиционным восприятием содержания банковской деятельности и новыми способами и условиями ее осуществления может и здесь сыграть негативную роль, приводя к нарушению непрерывности и целостности корпоративного управления. Проблемы заключаются в том, что, во-первых, в условиях ТЭБ не так просто обеспечить это «должное наблюдение», о чем уже упоминалось выше, и, во-вторых, не так просто гарантировать адекватное понимание особенностей технологий и систем ДБО на разных уровнях иерархии в кредитной организации. Простейшим примером в этом случае может служить содержание должностных инструкций, которое варьируется на разных уровнях менеджмента и нередко радикально отличается от исполнительского уровня.
Опыт практического изучения этого, казалось бы достаточно «узкого» вопроса свидетельствует, что понимание того, каким образом можно обеспечить должное наблюдение со стороны высшего руководства в условиях применения ТЭБ, не является полным. Выражается это, в частности, в том, что должностные инструкции исполнительского уровня (например, специалистов, старших, ведущих, иногда главных специалистов), как правило, требуют знания настроек и функционирования совершенно конкретных, принятых или принимаемых «на вооружение» кредитной организацией программно-информационных комплексов (или, как иногда говорят, «программных продуктов»). Это могут быть комплексы самого разного назначения: операционного дня, ДБО, различных серверов (баз данных и других), брандмауэров, маршрутизаторов, телекоммуникационные и т. п. Также могут предъявляться требования знания определенных языков программирования, инструментальной среды систем управления базами данных и др. Таким образом, речь идет о достаточно узкой и во многом заранее известной квалификации и глубоких, детальных знаниях операционной среды банковской деятельности. В то же время в должностных инструкциях менеджеров разных уровней подобные положения встречаются нечасто, причем относится это к руководителям департаментов, управлений, отделов и их заместителям. Очевидно наличие почвы для нарушения целостности управления: на каких-то уровнях неизбежны разрывы в понимании того, что именно происходит в компьютерных системах, как этими процедурами управлять и, что, возможно, даже более важно, как контролировать происходящее.
Практически любой контроль в компьютерных системах обеспечивается за счет формирования и ведения специальных файлов: системных журналов (так называемых «логов») и аудиторских журналов
