Руководству и специалистам кредитных организаций следует учитывать особенности ДБО и в части факторов, относимых к форс-мажору. К сожалению, практика свидетельствует, что несмотря на обязательное (а скорее традиционное) наличие в договорах с клиентами и провайдерами раздела о форс-мажорных обстоятельствах, вопросы о действиях в этих обстоятельствах остаются часто открытыми. Даже при наличии таких планов нет уверенности в их действенности, поскольку зачастую в них написано только о том, кто и кому должен сообщить о возникших проблемах. Кстати, и необходимость корректировки (адаптации) таких планов вместе с внедрением каждой новой технологии ДБО осознается далеко не всегда. А ведь на самом деле это изменение бизнес-модели, а значит, и той самой «операционной деятельности», за счет которой живет кредитная организация.

Одним из факторов риска, связанным с аутсорсингом и, как правило, редко учитываемым кредитными организациями, является отсутствие внимания к содержанию взаимодействия с провайдерами. В США и Западной Европе считается, что любая пользующаяся аутсорсингом кредитная организация должна иметь полное представление, как минимум, о таких характеристиках провайдера, как:

• лицензионные данные;

• финансовое состояние;

• история, опыт и перспективы деятельности;

• обеспечение информационной безопасности;

• состав аппаратно-программного обеспечения;

• квалификация основного персонала;

• средства обеспечения непрерывности функционирования;

• организация внутреннего контроля;

• содержание планов на случай чрезвычайных обстоятельств;

• наличие и содержание субконтрактов на аутсорсинг [51] ;

• результаты аудиторских проверок.

Как обычно, правильная организация работы с провайдерами зависит от понимания значимости этой проблематики руководством кредитной организации. На это обращается внимание во многих материалах зарубежных органов банковского надзора. Например, в одном из руководств Федеральной корпорации страхования депозитов США (FDIC) по оцениванию рисков, связанных с информационными системами, сказано: «Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».

Поскольку компьютерные системы провайдеров могут использоваться в качестве промежуточных «усилителей» для атак на кредитные организации, специалистам кредитной организации целесообразно время от времени проводить работу по изучению состояния дел с обеспечением информационной безопасности у провайдеров. Собственно, логично было бы обращать внимание руководителей самих провайдеров на то, что от надежности, функциональности и защищенности их систем может непосредственно зависеть операционная деятельность кредитной организации. Таким образом, желательно было бы удостовериться также и в том, что специалисты провайдера осведомлены о возможных сетевых атаках и принимают все необходимые меры, чтобы им противостоять, защищая тем самым и автоматизированные системы связанных с ними организаций.

Обсуждая роль провайдеров, необходимо помнить, что общая пропускная способность, или, иначе, производительность кредитных организаций, принимающих, обрабатывающих и отправляющих потоки банковских и клиентских данных, определяется, безусловно, соответствующими характеристиками БАС и СЭБ, но отнюдь не только ими. Не менее важны такие же показатели компьютерных и связных систем провайдеров, т. е. целесообразно убедиться, что характеристики этих систем рассчитаны правильно и соответствуют потребностям кредитной организации, учтены вопросы масштабируемости систем, имеется резерв не только по аппаратно-программной части, но и по ее производительности и т. п. Все эти вопросы логично рассматривать с позиций возможного влияния на клиентов – на возможные уровни связанных с аутсорсингом компонентов операционного, репутационного, правового и стратегического банковских рисков.

Сюда же относится и проблематика восстановления операционной работы после чрезвычайных ситуаций, приведших к ее частичному или полному прерыванию. Постановка вопроса предполагает наличие в кредитной организации наборов сценариев развития неблагоприятных событий и их последствий, т. е. разных «проблемных уровней». Имеются в виду планы действий, адекватные разным по степени влияния и значимости угрозам. Например, что делать, если во время перегрузки системы ДБО системный администратор ушел пить кофе? А лопнувшая батарея парового отопления залила не только основной сервер, но и резервный, стоявший почему-то рядом? И так далее, вплоть до того, как быстро можно инициировать резервное программное обеспечение и резервные записи баз данных, если они переданы на хранение специализированному провайдеру, и насколько вероятные негативные сценарии развития событий учтены в договорах с клиентами о ДБО.

Клиенты в свою очередь должны располагать возможностями связи с сервис-центром кредитной организации, получать информацию о наличии или отсутствии угрозы их интересам, а также сведения, каким образом они могут возобновить прерванные или осуществить ставшие вдруг недоступными операции. При этом сервис-центр должен располагать достаточными для «массового спроса» возможностями. Для того чтобы убедиться в реальности этих вариантов, самой кредитной организации целесообразно время от времени обращаться за подтверждением к независимым аудиторским фирмам, неся необходимые затраты.

Сказанное в полной мере относится и к банковским автоматизированным системам как к зоне концентрации факторов банковских рисков, которая формируется локальными и (или) зональными вычислительными сетями кредитных организаций. Несмотря на сходство во многих случаях архитектуры таких систем в целом, каждая из них уникальна, не говоря уже о необходимости модернизации этих систем вместе с развитием банковского бизнеса. Вследствие этого схемы выявления, оценки и анализа риска оказываются индивидуальными, хотя реализуют фактически единую лежащую в их основе методологию управления рисками. В наиболее общем случае это та же методология риск-ориентированного надзора.

Что касается систем электронного банкинга, то при выборе конфигурации соответствующей внутрибанковской автоматизированной системы считается необходимым рассмотреть следующие четыре фактора [52] :

• стратегические цели, определенные для электронного банкинга;

• масштабы, содержание и сложность деятельности и ее обеспечения;

• технологический опыт;

• требования к безопасности и внутреннему контролю.

При этом оценку, может ли быть реализована вся технологическая схема внутри кредитной организации или же какие-то функции (либо технологическая поддержка их выполнения) предпочтительнее передать на аутсорсинг. Очевидно, что в зависимости от таких решений схемы выявления, оценки, анализа и мониторинга рисков будут различными (хотя частично перекрывающимися). По существу в этом и проявляется адаптация кредитными организациями своих внутренних процедур, ориентированных на управление рисками, к реальному составу ИКБД.

В число основных процессов, связанных с ДБО и подлежащих анализу с точки зрения факторов и источников банковских рисков, входят:

• разработка, размещение и ведение web-сайта;

• конфигурация сетевых брандмауэров и управление ими;

• внедрение и сопровождение системы обнаружения вторжений [53] ;

• администрирование вычислительной сети;

• обеспечение информационной безопасности;

• управление работой серверов СЭБ и БАС;

• управление работой серверов вычислительной сети;

• управление прикладными программами (расчетов, платежей и пр.);

• ведение бухгалтерского учета и подготовка отчетности;

• поддержка и сопровождение аппаратно-программного обеспечения.

Поскольку все эти компоненты необходимы для реализации процесса ДБО, полноценный анализ каждого из них одинаково важен. На рисунке 6.1 приведено упрощенное схематичное изображение ИКБД в варианте интернет-банкинга, где актуализированы все эти процессы. Такие схемы полезно разрабатывать и анализировать при внедрении технологий ДБО (электронного банкинга), детализируя сегменты, которые относятся к самой кредитной организации и, по возможности, к ее провайдерам.

Рис. 6.1. Информационный контур банковской системы с указанием основных процессов, связанных с ДБО и подлежащих анализу с точки зрения факторов и источников банковских рисков

АПО как системы ИБ, так и любых вычислительных сетей может характеризоваться различным размещением и в кредитной организации, и на средствах ее провайдеров. На рисунке 6.1 несколько пунктирных стрелок показывают компоненты ИКБД, которые могут управляться провайдерами или размещаться у них. Приведенная схема не охватывает все возможные конфигурации ИКБД в случае интернет-банкинга, так что желательно составление схем такого рода в каждом отдельном случае.

В качестве одного из вариантов риск-ориентированный анализ можно проводить по компонентам банковских рисков: как минимум, операционного, правового и репутационного рисков (ведь все они связаны с возможными выходами банковских и других компьютеризованных систем из штатных режимов работы), а иногда также риска неплатежеспособности и стратегического риска. При этом каждый «элементарный риск» логично увязывать с каким-то одним фактом, отмечающим тот или иной недостаток в содержании, организации и условиях осуществления ДБО. Подмножества таких фактов приводят к тем или иным возможным негативным событиям, а совокупности событий образуют ситуации реализации риска в кредитной организации, которые подлежат комплексному анализу на предмет минимизации или исключения влияния источников рисков.

Таким образом формируется иерархическая древовидная схема, в которой может наглядно прослеживаться также эффект так называемого «распространения риска» в кредитной организации. Этот подход характеризуется как детальностью анализа, так и высокой трудоемкостью, поэтому на практике чаще используется обобщение до укрупненных компонентов ИКБД (например, исходя из типового состава форс-мажорных ситуаций) или составление перечней мер и мероприятий, выполнение которых само по себе предполагает достаточную защиту от возможных угроз функционированию кредитной организации. На этой основе далее определяются возможные причинно-следственные связи в случаях развития неблагоприятных событий, анализ которых доводится до составления и модернизации планов на случай чрезвычайных обстоятельств.

Возникает также необходимость в проведении специальных проверок состояния и деятельности провайдеров с позиций поддержания ими условий надежной банковской деятельности. Такие проверки и анализ факторов риска, связанных с аутсорсингом, целесообразно проводить службам информационной безопасности и внутреннего контроля кредитных организаций, как это происходит в ряде стран Запада. В этом случае также уместно использовать как риск-ориентированный, так и «клиент-ориентированный» подход. Для эффективного выполнения таких обязанностей этим службам требуются соответствующие методические материалы, которые целесообразно разрабатывать как для конкретных конфигураций внутрибанковских систем и систем ДБО, так и для конкретных вариантов аутсорсинга. А для того чтобы разработать и использовать эти материалы на практике, требуются специалисты, имеющие нужную подготовку и в области информационных технологий, и в области банковского дела (желательно – включая его юридические аспекты). Мало того, и в органах управления кредитных организаций крайне желательно наличие специалистов, осознающих указанные потребности.

Наиболее многообразными при взаимодействии посредством ДБО являются проблемы обеспечения информационной безопасности. Все они являются либо следствием специфики ТЭБ и среды взаимодействия как таковых, либо вариантами типовых и хорошо известных угроз информационной безопасности, поэтому их нетрудно понять и предложить эффективные меры для решения. Прежде всего нужно помнить, что идеальных способов и средств обеспечения информационной безопасности в сетевых структурах до настоящего времени не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками и мастерство тех, кто защищает кредитную организацию от рисков, связанных с нарушениями информационной безопасности, как раз заключается в том, чтобы в совокупности «накрыть» все поле источников рисков такими средствами защиты, недостатки которых не совпадают. Это принцип «эшелонированной обороны», который реализуется применением брандмауэров различных видов, разных производителей или работающих на разных аппаратно-программных платформах. При этом желательно и разделение обязанностей по их настройке и использованию. В то же время надо помнить о том, что хотя брандмауэры действительно являются критично важными компонентами сетевой защиты, они защищают не от всех атак и не все атаки могут обнаружить.

Прослушивание сетевого трафика или перехват передаваемой по вычислительным сетям информации может раскрыть критически важные сведения для хакера, стремящегося к получению прав и полномочий наиболее высокого уровня. Такие атаки являются пассивными, вследствие чего их трудно обнаружить, поэтому целесообразно применять средства обнаружения «прослушки» в вычислительных сетях. Вместе с тем надо учитывать желательность разнообразия не только средств пассивной, но и активной защиты. Если, например, злоумышленники могут использовать специальные программы-«вынюхиватели» для перехвата идентификационных кодовых последовательностей в сетевом трафике, то в качестве средств сетевой защиты уместно применять программы, позволяющие обнаружить и идентифицировать таких «вынюхивателей». Речь идет об известном принципе, который можно переформулировать так: «чтобы поймать хакера, нужен хакер». Это относится и к выявлению источников сетевых атак через Интернет на СЭБ и БАС, о чем надо знать специалистам по информатизации и обеспечению информационной безопасности, так как многие зловредные действия в киберпространстве уже уголовно наказуемы, и растет число специалистов, занятых расследованиями преступлений в Сети.

Защиту лучше строить не как «реактивную», а как «проактивную». Речь идет о том, что целесообразно представлять себе возможные действия хакеров и создавать модели нарушений и возможных атак, а также сценарии их развития и последствий. На основе такого модельного подхода строится эффективная система обеспечения информационной безопасности, определяются методы и средства защиты данных и операций.

Защита от компьютерных вирусов, «червей», «троянских коней» и других вредоносных программ уже давно стала общим местом в публикациях на темы, связанные с компьютеризацией банковской деятельности, в особенности при работе с электронной почтой в Интернете. Тем не менее средствами антивирусной защиты или регулярностью их обновления все равно часто пренебрегают. В то же время достаточно одной «удачной» атаки, чтобы нарушить или разрушить бизнес. Известны случаи разрушения баз банковских данных, которые потом приходилось восстанавливать по первичной информации (причем иногда кредитные организации вообще были вынуждены обращаться за своими же данными в территориальные учреждения Банка России!). Поэтому в кредитной организации желательно определить порядок и регламент работ с антивирусными средствами, назначить ответственных и контролирующих лиц, обучить и контролировать пользователей БАС и СЭБ.

Исходя из содержания процессов, протекающих в сетевых структурах при дистанционном взаимодействии клиента кредитной организации, например с ее web-сервером, надо отметить так называемые «активные элементы» web-страниц. Закачиваемое на интернет-компьютер активное содержимое может быть значительно активнее, чем кажется (об одном опасном варианте фишинга уже говорилось). Такие средства формирования «активного контента», т. е. динамического и интерактивного содержания web-страниц, как Java, JavaScript, ActiveX, могут использоваться и для скрытого вредоносного воздействия на компьютерные системы, кражи данных и т. д. Поэтому бывает полезно отключать их, не обращая внимания на «красоту» интерфейса.

Безусловно, информационная безопасность связана не только с техническими средствами, поскольку известно, что самым слабым звеном в причинно-следственных цепочках является человек. Прежде всего это относится к распространенному заблуждению, что все сотрудники кредитной организации честные люди, а все мошенники действуют только извне. Известно, что это далеко не всегда справедливо, и примерно половина атак замышляются сотрудниками кредитных организаций, хорошо знающими объекты атак и способными нанести гораздо больший ущерб, чем хакеры. К тому же даже при отсутствии злого умысла человеку свойственно ошибаться, особенно при слабой подготовке и недостаточной квалификации, чем пользуются хакеры. Лучше всего создавать такие условия, в которых нарушать установленные правила оказалось бы крайне затруднительно независимо от уровня квалификации пользователя компьютерных систем. В наибольшей степени это касается нарушений правил парольной защиты, идентификации пользователей и аутентификации их действий. Пароли вообще используются для идентификации личностей чаще всего, но это – одно из наиболее слабых мест в защищаемых компьютерных системах; именно поэтому защита изначально должна быть комплексной и контролируемой.

К вопросам идентификации и аутентификации тесно примыкает проблематика вовлечения кредитных организаций в противоправную деятельность, что обусловлено отмеченной ранее возможной анонимностью деятельности в киберпространстве, прежде всего при ДБО в форме интернет-банкинга. В такой ситуации целесообразно уделять самое серьезное внимание автоматическим или хотя бы полуавтоматическим способам и средствам контроля над операционной деятельностью, инициируемой из Сети. Безусловно, в первую очередь речь идет об идентификации клиентов, работающих с кредитной организацией дистанционно, но нередко случается, что, предоставляя клиентам возможности ДБО, кредитные организации забывают о необходимости их последующей регулярной идентификации и аутентификации. Отсутствие таких процедур может привести к росту правового, репутационного и стратегического рисков для кредитной организации.

Дополнительные сложности могут возникнуть, когда филиалы кредитной организации реализуют ДБО автономно, или даже независимо от головного офиса. Тогда для снижения риска органам управления лучше разработать дополнительные процедуры управления и контроля, включая содержание трафика между клиентами и бэк-офисом. Вследствие этого реализация принципа «знай своего клиента» оказывается в прямой зависимости от степени соблюдения корпоративных принципов в многофилиальной кредитной организации [54] .

Отдельный акцент надо сделать на проблемах, связанных с обеспечением управляемости и контролируемости банковских программно-информационных комплексов, используемых кредитными организациями в целом. Отмечавшаяся сложность ИКБД, формирующегося при каждом сеансе ДБО, требует не менее сложной организации контроля над банковской деятельностью. Однако, несмотря на то, что, например, при интернет-банкинге сетевой трафик каждый раз проходит неведомыми для кредитной организации и ее клиентов путями, возможно, и вокруг земного шара, значительная часть этого контура остается неизменной в части АПО самой кредитной организации и ее провайдеров. К сожалению, даже в этой части проблема контроля оказывается нередко почти нерешаемой, поскольку для обеспечения полной контролируемости функционирования этих программно-информационных комплексов и межсетевого трафика фактически должны быть заложены средства тестирования, расположенные в основных информационных сечениях. Такими сечениями, как правило, являются точки перехода информации из одной системы (или подсистемы) в другую и преобразования данных из одних форм (форматов) в другие.

Теоретически возможности контроля должны закладываться на стадии проектирования банковских автоматизированных систем, причем с участием тех специалистов, которые потом за этот контроль будут отвечать. В оптимальном варианте это не столько специалисты подразделения информатизации кредитной организации, сколько службы внутреннего контроля и обеспечения информационной безопасности. На этапах жизненного цикла БАС и СЭБ эти специалисты обеспечивают целостность контрольных функций, включая этапы сопровождения и модернизации системы. От них же зависит и контроль над автоматизированными системами провайдеров. Очевидно, что неконтролируемую систему нельзя считать системой управляемой, не говоря уже о достоверности управленческой информации, используемой для принятия решений. При неблагоприятных ситуациях, которые усугубятся (а так и бывает!) недостатками внутреннего контроля, клиенты ДБО скорее всего не потерпят ошибок или промахов со стороны финансовых учреждений, которые не обладают достаточными и надежными средствами контроля для управления операциями. Следствием этого станет реализация репутационного, правового и стратегического рисков.

Какой бы трудоемкой ни казалась такого рода организация внутрибанковских процессов, нужно помнить о растущей зависимости кредитных организаций, их клиентов, да и всей банковской деятельности от компьютерных и телекоммуникационных технологий. ДБО не является в этом смысле чем-то исключительным. По существу, все затраты на разработку и составление схем (хотя для инженерных-то разработок это – закон), их предварительный и последующий анализ, разработку моделей и сценариев угроз, определение способов и приобретение или разработку средств для их парирования и т. п. представляют собой плату за применение ДБО, и для современных кредитных организаций это уже неизбежно.

С позиций риск-ориентированного надзора внутреннему контролю в кредитных организациях (в силу известной схожести функций) целесообразно придавать риск-ориентированный характер. Обобщающее положение относительно роли и места внутреннего контроля в современных полностью компьютеризованных кредитных организациях может звучать так: минимизация риска, принимаемого на себя кредитной организацией, за счет исключения или снижения влияния источников рисков, обусловленных способами и средствами осуществления банковской деятельности, и доведение информации об этих источниках, уровнях и возможном влиянии риска до руководства кредитной организации. Отсюда следует вывод, что недостатки в организации и осуществлении внутреннего контроля могут оказаться наиболее серьезным источником банковских рисков. Поскольку в случае ДБО речь идет о банковской деятельности в условиях открытых информационных систем, требования к квалификации специалистов и пониманию ими специфики образования и проявления источников рисков существенно возрастают, что следует учитывать при организации работы.

Необходимо также отметить, что еще одним из основных «внутрибанковских» факторов риска является недостаточное внимание органов управления кредитных организаций к процессу разработки внутренних документов, их полноте, адресности, адекватности и актуальности. Но ими одними дело не исчерпывается, поскольку требуется эффективное распределение ответственности, прав и полномочий, подконтрольности и подотчетности, разработка специализированного методического обеспечения по выявлению, анализу, мониторингу рисков, контролю ДБО, информационных отчетов для органов управления кредитной организации – все это не преувеличение и соответствует рекомендациям органов банковского надзора Западной Европы и США.

Как бы то ни было, проблемы, возникающие у кредитных организаций из-за новых факторов риска, связанных с применением ДБО, не должны сдерживать прогресс в этой области. Ни одна из них не является неразрешимой, и при полном анализе структур ИКБД, учете компонентов банковских рисков, установлении причинно-следственных связей между недостатками в организации ДБО и невыполнением кредитной организацией обязательств перед клиентами, а также принятии мер, предотвращающих возникновение и реализацию источников банковских рисков, любое ДБО может быть весьма надежным.

7. Особенности корпоративного управления с применением технологий электронного банкинга

Решение задачи адаптации внутрибанковских процессов управления и контроля к условиям применения новых банковских информационных технологий, таких как технологии электронного банкинга, оказалось новой серьезной проблемой, возникшей в последнее время в сфере банковской деятельности. Необходимость такого решения обусловлена реально наблюдаемыми существенными смещениями профилей риска кредитных организаций, внедряющих ту или иную систему электронного банкинга (СЭБ), в связи с чем появляются специфические аспекты организации управления процессом ДБО и контроля применения таких систем, а также адаптации связанных с ними внутрибанковских процессов. В условиях отсутствия рекомендаций по такой организации, разнородности самих систем ДБО и сложности априорного анализа факторов и источников банковских рисков, сопутствующих ДБО, могут быть использованы подходы, предлагаемые зарубежными органами банковского регулирования и надзора. Они, как обычно, имеют достаточно общий характер, поэтому предлагается их возможная интерпретация в применении к электронному банкингу, на основе которой кредитным организациям, переходящим к ДБО, будет проще решать задачи, возникающие вместе с внедрением технологий такого рода.

Рассматриваемая проблематика стала актуальной достаточно поздно в сопоставлении с компьютеризацией банковской деятельности как таковой, что превратило эту деятельность в своего рода информационную дисциплину. Причина этого – в несоответствии привычного, складывавшегося веками традиционного понимания содержания банковской деятельности радикально новым формам ее осуществления, прежде всего в так называемом киберпространстве. Осознание значимости происходящих в банковской сфере перемен всегда запаздывало по сравнению с темпами внедрения кредитными организациями новых банковских информационных технологий вместе с соответствующими автоматизированными системами и переходом к ДБО в условиях открытых информационных систем (в том числе построенных на базе интернет-технологий). Да и современная ситуация с управлением и контролем в области электронного банкинга пока еще оставляет желать лучшего, поскольку примеры реализации технологических и технических компонентов типичных банковских рисков продолжают множиться. Сопутствующие этим негативным явлениям потери кредитных организаций и их клиентов, связанные со стратегическим, операционным, репутационным рисками и риском неплатежеспособности растут, а из-за реализации правового риска (в основном в части проблем осуществления финансового мониторинга) сами эти организации теряют лицензии на осуществление банковских операций.

Причины смещения профилей банковских рисков могут быть далеко не всегда очевидны для специалистов в области банковского дела, поскольку имеют в основном технологический и технический характер, а результаты таких смещений часто не очевидны для специалистов кредитной организации, отвечающих за техническое обеспечение банковской деятельности и ее надежность. Поэтому в настоящее время отсутствие учета конкретных проявлений смещения профиля риска в условиях ДБО заведомо негативно скажется на эффективности управления банковской деятельностью и контроля над ее осуществлением высокотехнологичными кредитными организациями. Такой учет целесообразен именно в корпоративном плане ввиду того, что многие кредитные организации используют одновременно по несколько разнородных, пусть и технологически схожих систем ДБО. Это явление вместе с тем предполагает комплексный анализ потенциального влияния сопутствующих каждой из СЭБ факторов и источников риска на банковскую деятельность кредитных организаций.

7.1. Проблематика корпоративного управления в условиях применения электронного банкинга

Организация экономического сотрудничества и развития (ОЭСР) представила в 2004 г. документ с описанием базовых положений по корпоративному управлению [55] . Эти материалы послужили основой для подготовки Банком России двух документов относительно базовых принципов корпоративного управления в кредитных организациях и осуществления его самооценки [56] . В первом из этих документов постулируется, что «эффективность корпоративного управления в кредитных организациях является одним из важнейших условий обеспечения стабильности как самих кредитных организаций, так и банковской системы Российской Федерации». Во втором документе отмечается, что «состояние корпоративного управления оказывает существенное влияние на финансовую устойчивость и эффективность деятельности кредитной организации». Там же определены направления, по которым может оцениваться состояние корпоративного управления, семантически совпадающие с рекомендациями, предложенными Базельским комитетом по банковскому надзору.

Из числа таких направлений к рассматриваемой проблематике имеют непосредственное отношение следующие:

• распределение полномочий между органами управления;

• утверждение стратегии развития деятельности кредитной организации;

• контроль за реализацией этой деятельности;

• координация управления банковскими рисками;

• мониторинг системы внутреннего контроля.

Остальными направлениями являются:

• организация деятельности совета директоров (наблюдательного совета);

• предотвращение конфликта интересов участников;

• отношения с аффилированными лицами;

• определение правил и процедур, обеспечивающих соблюдение принципов профессиональной этики;

• координация раскрытия информации о кредитной организации.

Во всех упомянутых документах речь идет в основном о распределении функций, обязанностей и ответственности, прав и полномочий, общем содержании тех или иных внутрибанковских документов, ключевых внутрибанковских процессах, характеристиках ответственных лиц и т. п. С административно-организационной точки зрения эти вопросы, конечно, важны. Они характеризуют структурную основу банковской деятельности в целом, однако современные условия осуществления ДБО сложны и специфичны, так что решения общих вопросов недостаточно. На передний план выходит конкретное содержание процессов, процедур, функций, обязанностей, ответственности и т. п., реализуемых на практике. Каких-либо конкретных рекомендаций относительно организации и содержания корпоративного управления, реализуемого в кредитной организации, использующей технологию электронного банкинга (ТЭБ), пока еще нет. Одно из последних руководств по корпоративному управлению – документ под названием «Совершенствование корпоративного управления в банковских организациях», разработанный БКБН [57] , также не содержит конкретики, учитывающей применение новых банковских информационных технологий, поэтому такие материалы можно только интерпретировать с позиций анализа потенциального, а затем – реального влияния особенностей этих технологий на бизнес-процессы в кредитных организациях.

7.2. Принципиальная основа надежного корпоративного управления

В своих рекомендациях БКБН разъясняет, что «практика эффективного корпоративного управления необходима для достижения и поддержания общественного доверия к банковской системе и уверенности в ней, что критично важно для должного функционирования банковского сектора и экономики в целом. Плохое корпоративное управление может вызвать банкротство банков, что приведет к значительным потерям общества и другим негативным последствиям ввиду их влияния на любые жизнеспособные системы страхования вкладов [58] и возможности провоцирования более обширных макроэкономических осложнений типа распространения риска [59] и воздействия на платежную систему. Кроме того, плохое корпоративное управление может привести к разочарованию рынка в возможностях банков должным образом управлять своими активами и пассивами, включая депозиты, что в свою очередь может спровоцировать отток вкладов или кризис ликвидности».

Первое положение, рассматриваемое с позиций идейной основы ДБО, говорит о необходимости поддержания доверия со стороны клиентов кредитных организаций к процессу ДБО. Дискредитация этой идеи может нанести непоправимый ущерб многим организациям, понесшим расходы на внедрение новых банковских информационных технологий и их аппаратно-программное обеспечение. Второе положение комментариев не требует, а третье прямо связано с реализацией правового и операционного рисков. Что касается «хорошего корпоративного управления», то оно, как постулируется, должно «способствовать эффективному мониторингу». Важно подчеркнуть, что мониторинг в высокотехнологичной среде не так просто организовать, для этого требуется наличие весьма специфических знаний и квалификации у совета директоров и высшего менеджмента кредитной организации.

Что касается текущей банковской деятельности, то в условиях применения ТЭБ это означает регламентный контроль за реализацией бизнес-плана и поддержанием бизнес-процесса ДБО. Той другое возможно лишь при условии понимания лицами, входящими в органы управления кредитной организацией, особенностей той или иной СЭБ и наличии адекватных средств ее контроля. О средствах контроля следует позаботиться до практического внедрения такой системы, на этапе ее проектирования или при принятии решения о ее приобретении. Поэтому от упомянутых лиц требуется понимание технологических особенностей функционирования СЭБ, предполагаемой к внедрению в кредитной организации.

Совету директоров и высшему руководству кредитной организации, внедряющей ТЭБ, целесообразно также заранее принять меры по созданию условий для адекватного обеспечения безопасности и надежности функционирования «своей» кредитной организации, что не так уж просто, особенно в отношении парирования возможного влияния распределенных в информационном контуре банковской деятельности источников рисков. Для этого лицам, принимающим решения об использовании ДБО, необходимо иметь полное представление об особенностях возникновения и проявления любых источников риска, обусловленных переходом в киберпространство, чтобы принять все необходимые меры заблаговременно.

В рассматриваемом документе также сказано, что «практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается банк, или при необходимости принятия значимых корректирующих мер». При применении ТЭБ проблемные ситуации могут оказаться нетрадиционными и, как отмечалось ранее, связанными не только с самой кредитной организацией, но и с действиями ее удаленной клиентуры, а также реализацией компонентов банковских рисков на территории ее провайдеров. Мало того, они могут оказаться и не всегда предсказуемыми . Поэтому руководству кредитной организации надо четко осознавать наличие специфических зависимостей ее банковской деятельности от сторонних организаций, обеспечивающих эту деятельность. Клиенты кредитной организации о таком обеспечении не догадываются, а поэтому, как показывает практика, все проблемы, возникающие из-за невыполнения обязательств провайдерами, входящими в ИКБД, приходится решать персоналу кредитной организации.

Эффективное корпоративное управление в оптимальном варианте учитывает все особенности технологий и систем ДБО, которые требуют наличия специальных знаний как у представителей совета директоров кредитной организации, так и у ее высшего руководства и у исполнителей на конкретных рабочих местах. При этом под эффективным наблюдением с их стороны можно понимать лишь такое, при котором полностью осознаются и учитываются системные взаимосвязи отдельных процедур, которые входят в состав даже разных внутрибанковских процессов. Корпоративность управления в этом случае должна заключаться в том, что гарантии выполнения кредитной организацией своих обязательств перед клиентами и контролирующими органами обеспечивается на всех уровнях менеджмента кредитных обязательств по всем иерархическим «линиям» подчиненности и подотчетности. Сами эти линии подлежат адаптации вместе с внутрибанковскими процессами и процедурами, модифицируемыми при внедрении новых технологий банковского обслуживания. За эту модификацию, как и за все остальное в деятельности кредитной организации, отвечают, естественно, ее совет директоров и высшее руководство. В противном случае выполнение указанных обязательств не гарантировано.

Эффективное корпоративное управление в условиях применения кредитной организацией ТЭБ неизбежно связано с учетом особенностей всех внедренных ею технологий и систем ДБО. Этим же определяется состав и объем специальных знаний у представителей совета директоров кредитной организации и ее высшего руководства (в терминах БКБН), включая сведения, требуемые для комплектования эффективно действующих «команд» специалистов по всем направлениям банковской деятельности, имеющим отношение к управлению ДБО и соответствующему контролю. Что касается детальной интерпретации содержания предложенных БКБН принципов в приложении к практическому применению ТЭБ, то в совокупности этим комитетом определены следующие восемь принципов надежного корпоративного управления.

Принцип 1. Члены совета директоров должны обладать необходимой квалификацией, иметь ясное понимание своей роли в корпоративном управлении и быть способны выносить обоснованные суждения относительно деятельности банка.

Принцип 2. Совету директоров следует утверждать и контролировать стратегические цели банка и корпоративные ценности, которые пропагандируются по всей банковской организации.

Принцип 3. Совету директоров следует устанавливать в организации четкую подчиненность и подотчетность и обеспечивать ее соблюдение.

Принцип 4. Совету директоров следует обеспечивать наличие должного наблюдения со стороны высшего руководства, согласующегося с политикой совета.

Принцип 5. Совету директоров и высшему руководству следует эффективно использовать результаты работы, выполняемой службой внутреннего аудита, внешними аудиторами и службой внутреннего контроля.

Принцип 6. Совету директоров следует обеспечивать соответствие политики и практики выплаты вознаграждения корпоративной культуре банка, долгосрочным ориентирам (целям) и стратегии, а также условиям контроля.

Принцип 7. Управление банком должно быть прозрачным.

Принцип 8. Совету директоров и высшему руководству следует знать операционную структуру банка, включая под какие юрисдикции подпадает банк в своей деятельности, а также влияние каких структур препятствует прозрачности (т. е. должен реализоваться принцип «знай свою структуру»).

7.3. Практическое содержание корпоративного управления в условиях электронного банкинга

В отношении первого принципа, предложенного БКБН, необходимо отметить, что уровни банковских рисков должны удерживаться в допустимых для кредитной организации пределах, установленных ее внутренними документами, с помощью адекватных и своевременных действий ее высшего руководства, менеджеров разных уровней и исполнителей. Это приводит к возникновению новых требований к содержанию функциональных ролей представителей руководства и исполнительных органов кредитных организаций. Можно с уверенностью предположить, что в подавляющем большинстве случаев сомнений относительно своей роли в деятельности кредитной организации члены ее совета директоров не испытывают. Однако то, что касается принятия решения относительно внедрения ТЭБ и перехода к ДБО, требует широкого мысленного охвата перспектив развития банковской деятельности и подготовки в предметной области ДБО к моменту принятия решения о внедрении кредитной организацией какой-либо ТЭБ. В число вопросов, требующих принятия руководящих решений, входят характеристики всех компонентов ИКБД, с которыми будут иметь дело и специалисты кредитной организации, и ее руководители. Главное, о чем при этом придется позаботиться, – это удержание уровней перечислявшихся выше банковских рисков в допустимых пределах, причем заранее понимая, что действие новых компонентов – источников этих рисков – априори может оказаться неизвестным.

В случае внедрения технологии интернет-банкинга необходимо изучить и проанализировать основные зоны концентрации источников (факторов) риска:

• банковскую автоматизированную систему (БАС), с которой потребуется интегрировать новый программноинформационный комплекс ТЭБ;

• поставщиков программно-информационных комплексов и аппаратно-программного обеспечения, подлежащих контролю;

• внутрибанковские процессы управления и контроля, включая иерархию ответственности, подконтрольности и подотчетности;

• внутрибанковское документарное обеспечение новой технологии: от порядков и инструкций до должностных обязанностей персонала;

• условия внедрения и применения новой технологии и реализующих ее систем электронного банкинга;

• средства обеспечения информационной безопасности кредитной организации, внутрибанковских информационных процессов и клиентов;

• систему внутреннего контроля, которая должна будет расшириться и адаптироваться к новой технологии (включая финансовый мониторинг);

• персонал кредитной организации, квалификация которого должна будет соответствовать новым требованиям (на разных уровнях иерархии);

• клиентов кредитной организации, которым потребуется дополнительная подготовка для пользования новыми сервисами;

• провайдеров кредитной организации, через телекоммуникационные и процессинговые системы которых пойдет новый банковский трафик.

К этому могут добавиться достаточно сложные вопросы юридического обеспечения нового рода деятельности: содержание договоров с клиентами и контрагентами, оценка соответствия этой деятельности требованиям законодательных и подзаконных актов, обеспечение выполнения правил бухгалтерского учета и достоверности регламентной банковской отчетности (то и другое, кстати, формируется в виртуальном пространстве) и т. п. От решений высшего руководства и органов управления кредитной организации прямо зависят уровни банковских рисков, которые будут принимать на себя кредитная организация и ее клиенты. При этом нужно учитывать и негативное влияние традиционного наследия: стык гуманитарных (финансовых, экономических, юридических) и технических дисциплин (информатика, связь, информационная безопасность) не так легко сделать «безшовным».

Первым из банковских рисков, которые реализуются вследствие недостаточной компетентности ответственных лиц, принимающих решения либо поддерживающих предложения относительно внедрения ТЭБ, является стратегический риск. При этом особенности реализации таких решений могут оказаться завуалированными, скрытыми последствиями реализации операционного, репутационного или правового рисков, а то и риска неплатежеспособности (самый простой пример – невозможность получения своих денег с помощью банкомата, потому что вышло из строя его АПО, нарушена связь, нет сетевого питания, не обеспечено своевременное подкрепление денежной наличностью, не работает процессинговый центр и т. д.). В последние годы кредитные организации делают ставку на развитие многоканального банковского обслуживания с интеграцией разнородных информационных технологий, повышением эффективности банковских операций и снижением рисков банковской деятельности. Все упоминавшиеся выше зоны концентрации источников компонентов банковских рисков неизбежно являются зонами ответственности кредитной организации, коль скоро именно она предлагает клиентам тот или иной вид ДБО и реализующую его СЭБ. Качество решения вопросов учета влияния этих зон на деятельность и оценка состояния кредитной организации зависят от осознания содержания ответственности и совокупной квалификации высшего руководства кредитной организации. Поэтому хотя требования к этому контингенту и могут показаться завышенными, однако это неизбежная плата за риск.

Второй принцип не отличается от традиционных постулатов – во всем мире кредитные организации сталкиваются с необходимостью решения одних и тех же проблем, стараясь обеспечить:

• занятие лидирующих позиций на финансовых рынках;

• снижение себестоимости банковской деятельности.

Для этого им приходится идти на технологическое и техническое усложнение обеспечения своей деятельности, основными характеристиками условий осуществления которой теперь являются:

• разработка и внедрение новых видов банковского обслуживания и сопутствующих им новых банковских технологий;

• изменения в законодательстве, ориентированные на повышение надежности и транспарентности банковской деятельности;

• использование достижений в компьютерных и телекоммуникационных технологиях.

В результате изменяются условия и способы достижения стратегических целей, что целесообразно учитывать при организации или оптимизации корпоративного управления в кредитных организациях. Содержание понятия «корпоративные ценности» также претерпевает расширение, тем более что действие человеческого фактора в условиях применения ТЭБ может оказаться скрытым распределенными компьютерными и телекоммуникационными системами. Руководство кредитной организации должно взвесить, насколько оно будет в состоянии контролировать приверженность корпоративным ценностям специалистов в области компьютерных технологий. Ситуация усугубляется также тем, что такие специалисты выполняют свои функции в киберпространстве, которое находится весьма далеко от транспарентности в смысле обычного человеческого восприятия.

Значительная часть мероприятий, проводимых в обеспечение сохранения корпоративных ценностей, имеет запретительный или ограничительный характер. Руководству кредитной организации приходится в новых условиях самому разрабатывать подобные меры либо обращаться к специалистам, имеющим специальную подготовку. Если исходить из того, что в большинстве случаев причины «недостижения» стратегических целей связаны с некомпетентностью, халатностью и злым умыслом персонала кредитных организаций, то акцент делается на обеспечение гарантий информационной безопасности. Вследствие этого налагаются запреты на использование в кредитной организации мобильных (отчуждаемых) носителей данных (флэш-карт, компакт-дисков, выносных накопителей на жестких дисках), доступ в Интернет в целом или отдельные его зоны, пользование устройствами мобильной компьютерной связи, подключение модемов, применение технологии виртуальных частных сетей (VPN) и т. п.

Это только один пример, а в общем случае если в кредитной организации требуется обеспечить реализацию политики, надежно предотвращающей деятельность, отношения или принятие решений, потенциально снижающих качество корпоративного управления, то необходим анализ конкретной формирующейся ситуации. Целесообразно понять, что означают эти требования в конкретной кредитной организации, внедряющей определенную (и априори вряд ли хорошо изученную) ТЭБ. Главное же – отчетливое представление о том, что именно может негативно при этом влиять на качество корпоративного управления.