Чтение онлайн

Такой вид деятельности, как внутренний контроль, исторически складывался в качестве механизма выявления и предотвращения случаев мошенничества или хищений, а также ошибок. Однако к настоящему времени сфера его применения существенно расширилась, охватывая разнообразные риски, связанные с банковской деятельностью кредитных организаций, а все перечисленное выше постепенно становится прерогативой формирующегося процесса ФМ (пока еще считающегося специализированной процедурой — компонентом процесса ВК). Изменение характера банковской деятельности, выражающееся в интенсивном использовании ДБО, разных вариантов ИКБД и обширных зональных сетей банкоматов и платежных терминалов, неизбежно приводит к необходимости включения в состав процесса ВК новых процедур, предназначенных для учета в процессе УБР возникновения новых угроз надежности банковской деятельности. Тем не менее многие отечественные кредитные организации, стремящиеся расширять спектр услуг ДБО, не успевают адаптировать к ним свой ВК ни как работу специальной службы, ни как функционирование СВК, что препятствует эффективному парированию таких угроз и поддержанию контроля со стороны руководства кредитной организации над смещениями ее профиля риска.

Во многих материалах зарубежных органов банковского регулирования

и надзора отмечается, что новации в сфере ИТ, трансграничная банковская деятельность и глобализация финансовых рынков способствуют существенному повышению вероятности реализации системных рисков, т. е. проявлению их на уровне банковского сектора. Особенно озабоченность качеством ВК в различных организациях характерна для США, где для обеспечения адекватности контрольных функций такого рода были даже приняты специальные федеральные законы, известные по фамилиям их создателей как акты Грэма-Лич-Блайли и Сарбанеса-Оксли [155] . В первом из них акцент сделан на контроле обеспечения конфиденциальности и целостности клиентской информации, во втором — на корпоративной ответственности, контроле достоверности финансовой информации и аудите систем ВК. В обоих законодательных актах серьезное внимание обращалось на адекватность и эффективность систем и средств ВК в части применения ИТ и корпоративных систем управления рисками.

В этих актах нашло отражение осознание значимости ИТ для современных учреждений разного рода и того, что сами эти технологии формируют условия и для внедрения новых способов управления рисками, и для ВК, отвечающего за мониторинг процедур выявления, анализа банковских рисков и управления ими. Технологии ВК вместе с реализующими ее методами и средствами устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, что означает потребность в их модернизации. Вследствие этого процесс ВК, акцентированный на применении ИТ, становится неотъемлемой частью всей инфраструктуры кредитной организации (при этом считается, кстати, что расходы на его обеспечение целесообразно определять исходя из возможностей парирования финансовых потерь, обусловленных реализацией банковских рисков, особенно это справедливо в усложнившихся условиях использования ДБО). Важно подчеркнуть, что ролевые функции в составе процесса ВК, во-первых, стали распределяться между подразделениями современных кредитных организаций, во-вторых, существенно усложнились ввиду перемещения процедур бухгалтерского учета и подготовки банковской отчетности в виртуальное пространство, значительного расширения тематику ОИБ с возникновением ранее отсутствовавших проблем, ростом значимости адекватного решения вопросов ФМ и т. д.

Однако даже это принципиальное усложнение состава задач службы ВК их состав не исчерпывает. Дело в том, что в современных технологиях ДБО велика роль провайдеров кредитных организаций, от которых, как уже отмечалось, во многом зависит надежность банковской деятельности — в восприятии удаленных клиентов; да и для самих этих организаций надежность провайдеров с точки зрения обеспечения гарантий уровня обслуживания часто бывает критично важной. В то же время вопросы контроля надежности провайдеров, определения требований к взаимоотношениям кредитных организаций с провайдерами, управления этими отношениями со стороны первых, оценки уровня обслуживания и ряд других остаются неурегулированными в законодательном плане [156] . Необходимо осознание руководством кредитной организации того, что внедрение технологий электронного банкинга радикально изменяет (расширяет) содержание внутреннего контроля, так что если он не подвергнется модернизации, то кредитные организации вряд ли смогут аргументированно доказать его адекватность изменившимся условиям осуществления ВК.

Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве [157] .

В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ

данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.

Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:

выполнение банковских операций и сделок;

подготовка регламентной банковской отчетности;

оценка соответствия установленным требованиям.

Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLA с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.

Таким образом, для адаптации процесса ВК, как неотъемлемой составляющей банковской деятельности, целесообразно известное переосмысление, в отношении конкретных процедур, составляющих этот процесс и определяемых требованиями оптимизации ППР в части УБР электронного банкинга. Тем более что ни БКБН, ни другие зарубежные органы банковского регулирования и надзора не предлагают новых материалов, которые устанавливали бы прямые связи между особенностями ВК при использовании современных банковских информационных технологий. В анализировавшемся выше материале БКБН [158] , посвященном принципам управления рисками при электронном банкинге, упоминалось, что для обеспечения эффективного ВК над ТЭБ нужен постоянный адекватный контроль со стороны руководства кредитной организации и что один из важнейших принципов ВК — это разделение обязанностей. Во введении к не рассматриваемому здесь и более раннему, а потому уже не во всем актуальному руководству по этой же теме было сказано, что «…эффективные средства внутреннего контроля являются критичным компонентом банковского менеджмента и основой безопасного и надежного функционирования банковских организаций». При этом, впрочем, не было определено понятие эффективности и не обосновывалась значимость ВК как такового для безопасной и надежной банковской деятельности кредитных организаций. Несмотря на важность перечисленных в упомянутой работе положений, их все-таки недостаточно для имеющего прикладное значение анализа изменений в ВК, связанных с ТЭБ.

Тем не менее основания для методических разработок, адаптирующих ВК к переходу к ДБО, можно найти, если попытаться интерпретировать разработки зарубежных органов банковского регулирования и надзора в области ВК, в частности материалы БКБН, с позиций учета состава и влияния факторов возникновения дополнительных компонентов банковских рисков, ассоциируемых с ДБО, а также специфики возникновения и проявления источников этих компонентов. В последний раз БКБН в своих публикациях уделял внимание принципам организации и осуществления ВК в кредитных организациях в 1998 г. [159] С тех пор каких-либо новых рекомендаций по этой тематике в адрес кредитных организаций не поступало, несмотря на то что за прошедшие годы в банковской сфере произошли значительные изменения, особенно в части сервисных технологий банковской деятельности, основывающихся на разнообразном АПО ДБО. Как бы то ни было, упомянутый материал, обрисовывающий общую схему ВК в кредитной организации, вполне пригоден для интерпретации в отношении электронного банкинга.

Рассматриваемая работа (далее — Рекомендации) была ориентирована, как заявлялось, на «совершенствование банковского надзора с помощью рекомендаций, способствующих надежному управлению рисками». В ней была определена общая схема оценивания органом банковского надзора СВК кредитной организации, а фактически — модель СВК, признаваемая этим органом, которая базировалась на 13 принципах, предназначенных для использования как при совершенствовании банковского надзора, так и при оценивании системы ВК кредитной организации. Как было сказано во введении к этому материалу, «эти принципы имеют общий характер, и органам надзора следует использовать их при оценке своих собственных методов и процедур надзора для мониторинга организации банками своих систем внутреннего контроля». Одновременно однозначно указывалось на то, что «данные принципы предоставят полезную схему для эффективного надзора за системами внутреннего контроля». Таким образом, очевидно, что назначение принципов изначально полагалось двояким.