Чтение онлайн

Принцип 12. О недостатках во внутреннем контроле независимо от того, выявлены они по направлениям бизнеса внутренним аудитом или другим персоналом, выполняющим контрольные функции, следует своевременно и адресно докладывать на соответствующем управленческом уровне. О значимых недостатках во внутреннем контроле следует докладывать высшему руководству и совету директоров.

В комментарии к этому принципу отмечается, что после выявления недостатков в работе ВК действия руководства кредитной организации по исправлению ситуации должны быть «адекватными и своевременными». Внутренним же аудиторам следует осуществлять последующий контроль и устанавливать, все ли недостатки исправлены, докладывая об этом руководству и документируя все проблемы и корректирующие мероприятия.

Принцип 13. Органам надзора следует требовать, чтобы все банки, независимо от их размера, имели систему средств внутреннего контроля, соответствующую

характеру, сложности и риску, присущему их балансовым и внебалансовым операциям, которая адаптировалась бы к изменениям в самом банке и внешних условиях. В тех случаях, когда надзорным органом устанавливается, что система внутреннего контроля банка не является адекватной или эффективной с точки зрения конкретного профиля риска банка (например, учитывает не все принципы, изложенные в настоящем документе), им должны приниматься соответствующие меры.

Построение СВК кредитной организации, ее адекватность содержанию банковской деятельности и эффективность, а также реакция руководства на результаты ее функционирования «должны оцениваться органом банковского надзора на основе риск-ориентированного подхода». При этом особо отмечается, что «должны оцениваться средства контроля в областях повышенного риска (как то, деятельность, характеризуемая необычной доходностью, быстрым развитием, новыми бизнес-решениями, географической удаленностью от головного офиса)». Можно предположить, что последние два примера непосредственно относятся к ДБО. Далее сказано, что «…изменения в условиях работы банка следует подвергать специальному рассмотрению». К этим изменениям отнесены:

1) изменения в операционных условиях;

2) прием нового персонала;

3) внедрение новой информационной системы или ее модернизация;

4) быстрое развитие какой-либо области деятельности;

5) внедрение новых технологий;

6) появление новых услуг, видов обслуживания или деятельности;

7) корпоративная реструктуризация, слияния и приобретения;

8) внедрение или расширение зарубежных операций.

Очевидно, что практически три четверти перечисленных изменений можно прямо отнести к внедрению или расширению применения технологий электронного банкинга. Что касается «соответствующих мер», то под ними понимаются информирование руководства кредитной организации о выявленных проблемах и мониторинг мероприятий, проводимых им для устранения недостатков ВК. Соответственно сотрудникам СВК следует быть готовыми к тому, что все связанное с новыми банковскими информационными технологиями, особенно в современных условиях с технологиями ДБО, привлечет внимание банковского надзора.

В завершение рассмотрения можно заметить, что в последние годы получают распространение так называемые «трансграничные» банковские операции, совершаемые кредитными организациями в электронной форме в рамках ДБО. Дополнительный стимул к их развитию дала такая его разновидность, как интернет-банкинг. Этому направлению в настоящее время уделяется повышенное внимание органов банковского и финансового надзора разных стран в связи с целым рядом потенциальных проблем ДБО, а именно его правовой неурегулированностью на локальных и международном уровнях, прохождением транзакций через процессинговые центры, расположенные на территории разных государств, возможностями его использования для «отмывания» денег и пр. Поэтому в современных условиях перед последним, 13-м принципом Рекомендаций можно было бы добавить еще один принцип, формулировка которого получена на основе положений более поздних публикаций БКБН:

Банкам следует интегрировать в свою систему управления рисками те риски, которые могут оказаться связаны с трансграничным банковским обслуживанием через каналы электронного банкинга. Все процедуры управления такими рисками, как риск ликвидности, операционный, правовой, репутационный, страновой и стратегический риски, необходимо адаптировать с позиций обеспечения выполнения обязательств перед клиентами, адекватного раскрытия информации о банковской деятельности и организации надлежащих процессов контроля управления рисками и оценки его качества до того, как приступать к трансграничному обслуживанию с помощью технологий электронного банкинга.

Трансграничная активность в рамках ДБО постоянно увеличивается в последнее время, поскольку пользование таким обслуживанием расширяется во многих странах и Россия не является исключением. Причем наблюдается стабильный рост пользователей Интернета, которые охотно используют эту разновидность ДБО ввиду предоставляемых ею удобств для доступа к банковским услугам. Не исключено, что в скором времени, учитывая результаты либерализации российского валютного законодательства, клиенты будут обращать все меньше внимания на то, в какой конкретно стране мира расположен банк, услугами которого они предполагают воспользоваться.

На основе проведенного рассмотрения уместно сделать еще два принципиальных замечания по существу вопроса модернизации ВК как процесса, СВК как «общебанковской» структуры и обеспечения совокупной квалификации входящих в нее специалистов кредитной организации, внедряющей ТЭБ, а именно:

1) кредитные организации могут неадекватно оценивать надежность (качество) процесса ВК (и ФМ), вследствие

чего могут смещаться профили и повышаться уровни банковских рисков;

2) контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса ВК способам и условиям осуществления ими своей банковской деятельности.

На обеих проблемах в последние годы зарубежными органами финансового контроля (в широком смысле) делаются серьезные акценты.

В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов [163] , основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г. [164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям:

В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей [165] . Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией CISA — «Сертифицированный аудитор информационных систем» и CISM — «Сертифицированный менеджер информационных систем» [166] . Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных систем всегда делается акцент в литературе, посвященной аудиту ИТ, составляющих основу современного бизнеса’. По существу ни одна системная разработка, АС или СЭБ не должны внедряться в кредитной организации без участия специалистов ВК, причем их участие необходимо с начала проектирования таких систем, как об этом было сказано выше. В книге Davis С., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets, представляющей собой отличное введение в аудит ИТ, указывается, что ВК «должен быть не частью проблемы, а частью ее решения». При этом его специалистам следует присутствовать на всех важных совещаниях по вопросам автоматизации, они должны активно участвовать в обсуждении предусматриваемых в автоматизированных системах средств контроля и ни в коем случае не «занимать позицию мухи на стене». Стоит добавить, что такую ролевую функцию ВК руководству кредитной организации целесообразно предусмотреть в ее «Положении о службе внутреннего контроля» (на основе риск-ориентированного подхода) и должностных инструкциях ответственных менеджеров и исполнителей.

В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:

над содержанием и ведением web-сайта, используемого кредитной организацией;

бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;