Применение технологий электронного банкинга: риск-ориентированный подход

Во многих материалах зарубежных органов банковского регулирования и надзора отмечается, что новации в сфере ИТ, трансграничная банковская деятельность и глобализация финансовых рынков способствуют существенному повышению вероятности реализации системных рисков, т. е. проявлению их на уровне банковского сектора. Особенно озабоченность качеством ВК в различных организациях характерна для США, где для обеспечения адекватности контрольных функций такого рода были даже приняты специальные федеральные законы, известные по фамилиям их создателей как акты Грэма-Лич-Блайли и Сарбанеса-Оксли[155]. В первом из них акцент сделан на контроле обеспечения конфиденциальности и целостности клиентской информации, во втором — на корпоративной ответственности, контроле достоверности финансовой информации и аудите систем ВК. В обоих законодательных актах серьезное внимание обращалось на адекватность и эффективность систем и средств ВК в части применения ИТ и корпоративных систем управления рисками.

В этих актах нашло отражение осознание значимости ИТ для современных учреждений разного рода и того, что сами эти технологии формируют условия и для внедрения новых способов управления рисками, и для ВК, отвечающего за мониторинг процедур выявления, анализа банковских рисков и управления ими. Технологии ВК вместе с реализующими ее методами и средствами устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, что означает потребность в их модернизации. Вследствие этого процесс ВК, акцентированный на применении ИТ, становится неотъемлемой частью всей инфраструктуры кредитной организации (при этом считается, кстати, что расходы на его обеспечение целесообразно определять исходя из возможностей парирования финансовых потерь, обусловленных реализацией банковских рисков, особенно это справедливо в усложнившихся условиях использования ДБО). Важно подчеркнуть, что ролевые функции в составе процесса ВК, во-первых, стали распределяться между подразделениями современных кредитных организаций, во- вторых, существенно усложнились ввиду перемещения процедур бухгалтерского учета и подготовки банковской отчетности в виртуальное пространство, значительного расширения тематику ОИБ с возникновением ранее отсутствовавших проблем, ростом значимости адекватного решения вопросов ФМ и т. д.

Однако даже это принципиальное усложнение состава задач службы ВК их состав не исчерпывает. Дело в том, что в современных технологиях ДБО велика роль провайдеров кредитных организаций, от которых, как уже отмечалось, во многом зависит надежность банковской деятельности — в восприятии удаленных клиентов; да и для самих этих организаций надежность провайдеров с точки зрения обеспечения гарантий уровня обслуживания часто бывает критично важной. В то же время вопросы контроля надежности провайдеров, определения требований к взаимоотношениям кредитных организаций с провайдерами, управления этими отношениями со стороны первых, оценки уровня обслуживания и ряд других остаются неурегулированными в законодательном плане[156]. Необходимо осознание руководством кредитной организации того, что внедрение технологий электронного банкинга радикально изменяет (расширяет) содержание внутреннего контроля, так что если он не подвергнется модернизации, то кредитные организации вряд ли смогут аргументированно доказать его адекватность изменившимся условиям осуществления ВК.

Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве[157].

В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.

Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:

выполнение банковских операций и сделок;

подготовка регламентной банковской отчетности;

оценка соответствия установленным требованиям.

Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLA с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.

Таким образом, для адаптации процесса ВК, как неотъемлемой составляющей банковской деятельности, целесообразно известное переосмысление, в отношении конкретных процедур, составляющих этот процесс и определяемых требованиями оптимизации ППР в части УБР электронного банкинга. Тем более что ни БКБН, ни другие зарубежные органы банковского регулирования и надзора не предлагают новых материалов, которые устанавливали бы прямые связи между особенностями ВК при использовании современных банковских информационных технологий. В анализировавшемся выше материале БКБН[158], посвященном принципам управления рисками при