Развитие корпоративного управления стало актуальной темой для российского банковского сообщества с начала 2000-х гг., но в отношении высокотехнологичных кредитных организаций дальше деклараций наиболее общего характера дело внедрения его принципов пока не пошло, а распространение новых банковских информационных технологий только осложнило ситуацию. Причины этого заключаются, по-видимому, и в новизне ДБО как такового, и в сложности управления работой автоматизированных систем, составляющих его основу, и в неочевидности подходов к реализации соответствующих контрольных функций руководством кредитных организаций. Как следствие затруднений с решением этих проблемных вопросов, начали реализовываться многообразные компоненты типичных банковских рисков, сопутствующих ДБО, так что кредитные организации и их клиенты стали нести достаточно ощутимые потери. Реализация рисков продолжается до сих пор, и в целом ситуация только осложняется, причем уже в международных масштабах (например, компрометация пластиковых карт). Это означает, что для парирования влияния нетривиальных источников риска требуются новые подходы к УБР, поскольку традиционные методы больше не могут считаться надежными. Это в свою очередь означает необходимость создания новых моделей корпоративного управления для новых технологий.

Несмотря на наличие двух основных документов Банка России, посвященных данной проблематике, а именно писем от 13 сентября 2005 г. № 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях» и от 7 февраля 2007 г. № 11-Т «О перечне вопросов для проведения кредитными организациями оценки состояния корпоративного управления», практическая реализация предложенных в них подходов в условиях применения систем электронного банкинга вызывает очевидные затруднения. В итоге время истинной, так сказать, «корпоративности» управления в новых условиях банковской деятельности, осуществляемой новыми же способами, пока еще не наступило. Как показывают исследования практики применения рассматриваемых технологий, основной проблемой в части корпоративного управления для многих кредитных организаций пока еще является невозможность основывать свою деятельность на детально разработанных и «технологичных» процедурах (компонентов внутрибанковских процессов) просто в силу отсутствия «готовых рецептов» управления. Поэтому в книге предлагается подход к его адаптации исходя из особенностей, которые привносятся в банковскую деятельность внедрением кредитными организациями технологий электронного банкинга и реализующих их систем, основанный на анализе принципов, описанных в упомянутых выше документах.

Внедрение кредитными организациями технологий ДБО приводит к неконтролируемому смещению профилей как минимум пяти типичных банковских рисков, вследствие чего за последние годы и наблюдалось множество случаев реализации их компонентов. В самом возникновении таких компонентов, которое оказалось, судя по всему неожиданным не только для российских кредитных организаций, но и для международного банковского сообщества, ничего удивительного нет, однако в отношении руководства кредитных организаций свою заметную негативную роль сыграл тот разрыв между традиционной интерпретацией банковской деятельности и новым ее содержанием, о котором говорилось выше. Поэтому совершенствование корпоративного управления в условиях применения технологий электронного банкинга, с точки зрения автора, необходимо именно для исключения негативных явлений такого рода. Оно является не просто насущной задачей, но процессом, жизненно необходимым для высокотехнологичных кредитных организаций. В противном случае кредитная организация окажется подвержена действию большинства сопутствующих ДБО факторов операционного, правового и репутационного риска (а в наиболее неблагоприятных случаях — и риска неплатежеспособности), что само по себе приведет к заметным финансовым потерям, а в худшем случае будет иметь место реализация стратегического риска, свидетельствующая о неготовности такой организации к переходу на ДБО, и тогда финансовые потери окажутся максимальными.

В то же время априори понятно, что внедрение новых банковских технологий, особенно таких, которые предполагают дистанционное, а значит, специфическое и отчасти анонимное обслуживание (как следствие дистанционности и отсутствия гарантий идентичности и аутентичности с обеих информационно взаимодействующих сторон), не может не являться в обязательном порядке прерогативой высшего руководства кредитной организации, поскольку любая из таких технологий может оказаться связана с возникновением множества источников (факторов) компонентов упомянутых банковских рисков. В оптимальном варианте все они должны были бы заблаговременно учитываться в кредитной организации в форме адаптации процедур выявления, анализа и оценки банковских рисков. Для каждого из них в отдельности и для всех в совокупности тому имеется ряд причин.

Во-первых, стоимость систем, реализующих ТЭБ, может быть весьма высока, и таким образом одна лишь ошибка в выборе варианта перехода к ДБО может в буквальном смысле «дорого стоить» кредитной организации. Кроме того, далеко не любая технология может оказаться легкой в использовании, а следовательно, оперативно востребованной для клиента, тем более что и уровень компьютерной грамотности среди населения нередко бывает невысок. Также существует проблема интеграции приобретаемой или разрабатываемой системы ДБО с уже действующими банковскими автоматизированными системами, наиболее часто проявляющая себя в информационных сечениях между действующими и вновь внедряемыми автоматизированными системами, а также недостаточной подготовке персонала, работающего с этими системами.

Во-вторых, не исключены, особенно в условиях бума ТЭБ (реально наблюдающегося в нашей стране), случаи применения недостаточно отлаженных, отработанных и всесторонне проверенных систем. К этому примыкает проблема подтверждения соответствия функциональных возможностей вновь внедряемых систем заявленным требованиям. Руководству кредитных организаций, использующих автоматизацию банковской деятельности как таковую (а других сегодня, скорее всего, и не существует), целесообразно по-разному организовывать процедуры приемо-сдаточных испытаний любых БАС (не только систем ДБО) в зависимости от того, разработаны они собственными специалистами (таких кредитных организаций меньшинство), созданы на заказ или приобретены «под ключ». Очевидно, что детальность функционального тестирования (как минимум) на этапе приемо-сдаточных испытаний должна повышаться от первого варианта к третьему, причем точно также растет и его сложность, поскольку работу собственных специалистов проконтролировать существенно проще, чем заниматься вылавливанием «жучков» в автоматизированных системах, внедренных сторонними организациями. Растут и требования к квалификации персонала, выполняющего процедуры такого рода.

В-третьих, не всегда имеются достаточные гарантии защищенности ТЭБ как таковых и соответствующих (реализующих и обеспечивающих их) распределенных компьютерных систем. Это относится как к обеспечению гарантий сохранения банковской тайны, так и к устойчивости к сетевым атакам, авариям, сбоям и другим неприятностям киберпространства. В этом плане целесообразно формировать политику информационной безопасности с учетом особенностей построения систем ДБО и тех зон ответственности кредитной организации, которые ей придется в итоге брать под контроль (совокупная же информация о таких зонах может иметься только у представителей руководства такой организации, которые могут «взглянуть на проблему сверху»). Адаптация этой политики в условиях существенно изменяющегося «периметра информационной безопасности» и применения новых, возможно не очень хорошо освоенных компьютерных технологий может оказаться непростым делом даже только в части ее документального оформления (описания).

В-четвертых, руководству кредитной организации целесообразно изначально задаться вопросом о возможности полноценного контроля использования ТЭБ и реализующих их компьютерных систем, равно как и сотрудников самой организации, которые будут обеспечивать их применение. Понятно, что работу любого специалиста в области информационных технологий может проконтролировать только специалист, имеющий как минимум аналогичную квалификацию (а лучше — более высокую). Отсюда и возникновение одного из оснований для принятия «принципа четырех глаз». В то же время не секрет, что реальным банком является в современных условиях не здание с надписью «Банк имярек» на фасаде, а банковская информационная система с хранилищем данных. Такая система может находиться как в этом же здании, так и в любом другом месте, например на территории провайдера, реализующего процессинг или другой аутсорсинг для кредитной организации. Вполне реально и нахождение такого провайдера вообще в нерезидентной юрисдикции, что нередко встречается при международном разделении труда. Очевидно, что в подобных ситуациях понятие «корпоративность» неизбежно расширяется, выходя за пределы самой кредитной организации. Поэтому ее руководству целесообразно быть в курсе возможных сопутствующих проблем, связанных в том числе с изменениями в профилях банковских рисков и потенциальной потребностью вернуть при необходимости выполнение функций, переданных на аутсорсинг, на свою «территорию».

В-пятых, корпоративность управления как таковая немыслима без ее «утверждения» на всех уровнях управления или менеджмента, причем желательно доведение соответствующих идей до исполнителей как минимум на всех участках, критично важных для кредитной организации и выполнения ею своих обязательств перед клиентами, акционерами и различными органами контроля. В этом плане полезно, чтобы в «корпоративном духе» не только проводились вечеринки, приуроченные к знаменательным для организации датам, но и организовывалось информационное взаимодействие между подразделениями кредитной организации (тем более в многофилиальной системе), осуществлялось обучение персонала этой организации наряду с его переподготовкой при внедрении каждой ТЭБ, а также обеспечивалось эффективное управленческое наблюдение (на групповой основе). При этом, кстати, за рубежом считается полезным осведомлять работников не только об их функциональных обязанностях, но и о том ущербе, который они могут нанести организации и себе в случае допущения отклонений от установленных регламентов и моделей корпоративного поведения (в новых технологических условиях).

Очевидно, и практика изучения применения технологий электронного банкинга в кредитных организациях подтверждает это, что сама собой упомянутая выше модернизация произойти не может, так что вместе с принятием решения о переходе к ДБО клиентов в кредитной организации целесообразно принятие адекватных мер по адаптации прежде всего устоявшихся (в традиционных вариантах) внутрибанковских процессов управления и контроля к новым условиям банковской деятельности, которые в свою очередь обусловлены внедрением новых способов ее осуществления. Для этого (как, впрочем, и при внедрении любой новой информационной технологии начиная с так называемого «электронного документооборота») требуется разработка некой идеологии, принятой на уровне кредитной организации в целом и реализуемой ее органами управления, причем происходить это должно, вообще говоря, при каждом технологическом (и техническом) «перевооружении» этой организации независимо от его масштабов (даже если изменения кажутся не слишком значительными, чтобы об этом вообще задуматься). Надо отметить, что такие технологии, особенно в части ТЭБ и ППР, того стоят.

Важно подчеркнуть, что роль корпоративного управления в адаптации внутрибанковских процессов при внедрении ТЭБ двоякая: во-первых, собственно «корпоративность» должна проявляться в определении состава подлежащих модернизации процессов в их комплексе (на основе определения перекрестных связей, с помощью которых согласуются отдельные процедуры), во-вторых, обеспечение согласованности адаптации возможно только централизованное, иначе проявятся все негативные характеристики 3-го уровня развития процессного подхода (зависимость результата от квалификации исполнителей в условиях неполного административного контроля). Сказанное относится к так называемым «линейкам подчиненности», которыми определяется доведение управленческих воздействий до исполнителей, но то же самое относится и к организации «линеек подотчетности», обеспечивающих контролируемость исполнения указаний — результатов этих воздействий. В условиях применения в кредитной организации сложных банковских информационных технологий, когда уровни многих компонентов банковских рисков прямо зависят от своевременности принятия и качества управленческих решений, их передачи по иерархии организации, равно как и от способности менеджмента проконтролировать их исполнение в форме специально организованных компьютеризованных процедур, решение таких вопросов целесообразно ставить «во главу угла» ввиду их принципиальной значимости.

В отсутствие официально принятого в кредитной организации (в связи с внедрением ТЭБ) методологического подхода, адекватного изменению ее бизнес-процессов, вновь внедряемые информационные технологии, помимо отсутствия предполагаемых выгод, могут неожиданно стать «головной болью» как для операционных и обеспечивающих подразделений кредитной организации, так и для ее руководителей. Необходимо отметить, что в ходе изучения применения технологий такого рода нередко приходится сталкиваться со своеобразным «руководящим мнением», что любая ТЭБ — это не более чем разновидность упоминавшегося электронного документооборота (или «транспорта» между кредитной организацией и ее клиентами, как уже отмечалось), и доля истины в этом, безусловно, есть. Однако наличие ИКБД, в котором реализуется такой документооборот, взаимная анонимность кредитной организации и клиентов ДБО и использование «высоких технологий» для обеспечения гарантий идентичности агентов информационного взаимодействия, аутентичности его содержания и верификации полномочий оказываются слишком серьезными факторами возникновения дополнительных источников компонентов банковских рисков, чтобы можно было занимать такую «безразличную» позицию в отношении применения этих технологий.

Важно осознавать, что перевод банковской деятельности в виртуальное пространство, сулящий кредитным организациям заметные выгоды, а их клиентам ни с чем не сравнимые удобства, требует принятия «грамотных» решений относительно формирования пруденциальных условий применения технологий и систем электронного банкинга, адекватных их сложности и специфике формируемого при этом ИКБД (с позиций управления и контроля). Для выработки таких решений требуется не только наличие специальной достаточно высокой квалификации (желательной и у менеджмента кредитной организации высшего звена), но и нетрадиционная организация подконтрольности и подотчетности в рамках типовых внутрибанковских процессов. Следует отметить также, что эти процессы, оставаясь типовыми по своему существу, в условиях электронного банкинга приобретают многочисленные новые, нетипичные для традиционной банковской деятельности характеристики, как это будет показано в главе 5. Эти характеристики целесообразно определять для каждой ТЭБ и отражать во внутрибанковских документах начиная с тех, которые регламентируют процесс УБР.

 

4.1. Интерпретация принципов корпоративного управления в приложении к условиям применения электронного банкинга

Интерес зарубежных органов банковского регулирования и надзора к проблематике собственно корпоративного управления наметился уже достаточно давно — разработки в этой области начались более десяти лет назад, однако активно использовавшиеся уже тогда варианты систем электронного банкинга в них не упоминались. Как ни странно, этой проблематике и до настоящего времени должного внимания не уделяется. Организация экономического сотрудничества и развития (ОЭСР) представила первый проект своих рекомендаций весной 1999 г., после чего в том же году аналогичные рекомендации разработал БКБН. Затем, в 2004 г., ОЭСР был выпущен итоговый документ, содержащий описание базовых положений по корпоративному управлению (эти материалы в дальнейшем послужили основой для серии аналогичных национальных западноевропейских и восточноазиатских разработок). В этих материалах определены направления, по которым может оцениваться состояние корпоративного управления, семантически совпадающие с рекомендациями, предложенными БКБН, из числа которых к рассматриваемой теме имеют непосредственное отношение следующие:

распределение полномочий между органами управления;

утверждение стратегии развития деятельности кредитной организации;

контроль за реализацией этой деятельности;

координация управления банковскими рисками;

мониторинг системы внутреннего контроля.

К числу других направлений относятся:

— организация деятельности совета директоров (наблюдательного совета);

— предотвращение конфликта интересов участников;

— отношения с аффилированными лицами;

— определение правил и процедур, обеспечивающих соблюдение принципов профессиональной этики;

— координация раскрытия информации о кредитной организации.

Несмотря на то что содержание рекомендаций, предложенных

упомянутыми выше международными организациями, не вызывает сомнений, все же современные условия финансовой деятельности в целом и банковской деятельности в частности, во многом определяемые обеспечивающими их компьютерными информационными технологиями, требуют специфической детализации в части практического учета их особенностей и содержания адаптации организации корпоративного управления в новых условиях. Объясняется это тем, что, как уже подчеркивалось, обеспечение «пруденциальности» указанных условий требует от совета директоров и высшего руководства кредитной организации проявления совокупной квалификации, позволяющей ориентироваться в киберпространстве ИКБД, управлять процессами, которые в нем протекают, и контролировать их.

Во всех упоминавшихся материалах речь идет преимущественно о распределении функций, обязанностей и ответственности, прав и полномочий, общем содержании тех или иных внутрибанковских документов, ключевых внутрибанковских процессах, характеристиках ответственных лиц кредитных организаций и т. п. С административно-организационной точки зрения вопросы такого рода безусловно важны, ибо они описывают структурную основу банковской деятельности любой кредитной организации. Однако современные и перспективные условия реализации банковского обслуживания оказываются настолько сложны и специфичны, что одних только вопросов общего плана оказывается недостаточно. Теперь на передний план выходит конкретизация содержания процессов, процедур, обязанностей, ответственности, полномочий и т. п., реализуемых на практике. К слову сказать, сама практика как раз и свидетельствует о том, что зачастую правильные административно-организационные решения и положения сопутствующих им внутрибанковских документов на практике оказываются не более чем «декларациями о намерениях». Наиболее типичными примерами этого являются: распределение ответственности, не подкрепленное должными квалификационными требованиями, формально составленные документы (распорядительные, организационные, инструктивные и пр.), «разорванные» «линейки» подчиненности и подотчетности, недопустимая концентрация прав и полномочий, а также самое главное — отсутствие полноценного мониторинга внутрибанковских процессов, т. е. того, что БКБН определяет как «эффективный управленческий контроль».

Усугубляется ситуация тем, что какие-либо конкретные рекомендации относительно организации и содержания корпоративного управления, реализуемого в кредитной организации, внедряющей ТЭБ, пока еще никем не разработаны. В то же время продолжается периодическое обновление зарубежными органами банковского регулирования и надзора своих материалов, посвященных принципиальным вопросам организации корпоративного управления в целом, и даются рекомендации по его совершенствованию. Одним из последних и, наконец-то, наиболее полноценным руководством такого рода явился документ под названием «Совершенствование корпоративного управления в банковских организациях», разработанный БКБН. Этот документ используется здесь в качестве основы для интерпретации подходов к ведению банковского дела в киберпространстве с позиций анализа влияния особенностей вновь внедряемых технологий и систем электронного банкинга на бизнес-модели и внутрибанковские процессы в кредитных организациях.

В преамбуле к публикуемым рекомендациям БКБН разъясняет, что «практика эффективного корпоративного управления необходима для достижения и поддержания общественного доверия к банковской системе и уверенности в ней, что критично важно для должного функционирования банковского сектора и экономики в целом. Плохое корпоративное управление может привести к банкротству банков, что приведет к значительным потерям общества и последствиям ввиду их влияния на любые „жизнеспособные системы страхования вкладов“’ и возможности более обширных макроэкономических осложнений типа распространения риска и воздействия на платежную систему. Кроме того, плохое корпоративное управление может привести к утрате уверенности рынка в возможностях банков должным образом управлять своими активами и пассивами, включая депозиты, что в свою очередь может спровоцировать отток вкладов или кризис ликвидности». Следует отметить, что такие характеристики, как «эффективное», «плохое», «должным образом», не поясняются, что свойственно материалам БКБН, который обычно не слишком заботится о точном определении понятийного аппарата.

Можно отметить тем не менее, что первое положение, учитывая трактовку его с позиций самой идеи ДБО, говорит по существу о необходимости поддержания доверия со стороны клиентов кредитных организаций к процессу именно дистанционного предоставления банковских услуг. Дискредитация такой идеи скорее всего нанесла бы непоправимый ущерб многим банковским учреждениям, учитывая уже понесенные и «договоренные» затраты на современные банковские технологии и их аппаратно-программное обеспечение (АПО). Это касается, кстати, и всех так называемых «частных платежных систем», которые получили чрезвычайное широкое распространение в последние два года (речь идет о разнообразных платежных терминалах и системах перевода денежных средств, фактически уже превратившихся в компонент российской финансовой системы). Второе приведенное положение комментариев не требует, а третье непосредственно связано с реализацией правового и операционного рисков. Следует отметить, что акцент на этих двух рисках для БКБН стал уже традиционным, хотя значимость остальных перечисленных в главе 2 банковских рисков, прямо связанных с административными, управленческими, технологическими и организационно-техническими причинами (угрозами), отрицать в российском банковском секторе на сегодняшний день невозможно.

В материалах БКБН говорится, что «предложенные ОЭСР принципы определяют корпоративное управление как включение [в него] совокупности отношений между менеджментом компании, ее советом, акционерами и другими заинтересованными лицами. Корпоративное управление предоставляет структуру, через посредство которой устанавливаются цели компании, а также определяет средства достижения этих целей и мониторинга функционирования. Хорошее корпоративное управление должно обеспечивать должные стимулы для совета и менеджмента, чтобы достигались цели, представляющие интерес для компании и ее акционеров, а также способствовать эффективному мониторингу». Можно отметить явное несоответствие базового определения семантике самого понятия «управление», которое изначально представляет собой процесс, а поэтому никак не может являться какой-либо «совокупностью отношений». Впрочем, здесь важно подчеркнуть, что само наличие мониторинга, который в высокотехнологичной среде неизбежно должен быть не менее «технологичным», не так просто организовать (что будет показано ниже), причем для этого потребуется наличие весьма специфических знаний и опыта и у самого «совета», и у высшего менеджмента кредитной организации, и у подбираемых ими кадров.

Далее в преамбуле рассматриваемого документа заявлено, что «с позиций банковского сектора корпоративное управление включает способ управления деловой активностью и банковской деятельностью со стороны Совета директоров и высшего руководства, который влияет на то, как они:

— устанавливают корпоративные цели;

— осуществляют банковский бизнес на повседневной основе;

— выполняют обязательства в части подотчетности перед своими акционерами и учитывают интересы других правомочных заинтересованных лиц;

— обеспечивают соответствие корпоративной деятельности и поведения ожиданиям того, что банки будут работать безопасным и надежным образом в соответствии с действующим законодательством и правилами; а также

— защищают интересы вкладчиков».

Надо сказать, что «корпоративные цели» кредитной организации, внедряющей ту или иную ТЭБ, как правило, непосредственно связаны с конкурентной средой и учетом пожеланий клиентов (об этом явно свидетельствуют данные социологических опросов). Что касается «повседневной» банковской деятельности, то в условиях применения ТЭБ это означает как минимум текущий мониторинг руководством кредитной организации реализации бизнес-плана и поддержания бизнес-моделью соответствующего варианта ДБО. Понятно, что то и другое может иметь место только в том случае, если органы управления кредитной организации понимают особенности ДБО (конкретной ТЭБ) и располагают адекватными средствами контроля, для чего им следует позаботиться о наличии таких средств еще до практического внедрения соответствующих систем, т. е. на стадии их проектирования либо, в случае сторонней разработки, принятия решения о приобретении такой СЭБ. В свою очередь это требует от представителей органов управления понимания технологических и технических особенностей функционирования ИКБД и системы, которую было решено внедрить для достижения стратегических целей кредитной организации (или наличия в руководстве кредитной организации некоего комитета, состоящего из специалистов необходимой квалификации).

Важным вопросом является учет интересов таких «заинтересованных лиц», как представители органа банковского надзора. Понятно, что в условиях применения ТЭБ, реализуемых в киберпространстве (которое по определению является виртуальным), кредитной организации придется позаботиться о гарантиях соответствия осуществления банковской деятельности установленным требованиям, которые она сможет представить таким лицам. При этом крайне желательно и создание условий для проведения при необходимости эффективной проверки этими (уполномоченными) лицами результатов применения ТЭБ в плане оценки того же соответствия. Надо сказать, что в этой ситуации, как и вообще при проверке функциональности автоматизированных систем, от всех взаимосвязанных участников такого процесса требуется демонстрация специальных знаний и квалификации начиная с разработки программ, методик и контрольных примеров для испытаний и кончая определением и оценкой свидетельств подтверждения заданной функциональности. Следует отметить, что сказанное в равной мере относится и к работе служб внутреннего контроля, обеспечения информационной безопасности и финансового мониторинга кредитной организации.

Обеспечение технологической надежности функционирования кредитных организаций, осуществляющих ДБО, в условиях открытых систем (например, через Интернет или мобильную связь), также является достаточно непростой задачей, особенно в части парирования возможного негативного влияния сопутствующих источников и факторов рисков. Совету директоров и высшему руководству кредитной организации, использующей ТЭБ, целесообразно заранее (на этапе принятия решений о переходе к ДБО) предусмотреть реализацию совокупности взаимосвязанных мероприятий, направленных на такое обеспечение. Для этого желательно иметь полное представление об особенностях возникновения и проявления источников и факторов риска, обусловленных работой в киберпространстве. Понятно, что даже в отсутствие официальной регламентации ничего страшного в применении ТЭБ в обеспечение банковской деятельности нет — при условии соблюдения элементарных правил здравого смысла и наличии необходимого минимума технических знаний. Тем не менее практика свидетельствует о том, что подавляющее большинство проблем в процессе ДБО возникает как раз из-за того, что о соблюдении правил такого рода органы управления кредитных организаций почему-то не задумываются. Следствием же этого становятся серьезные недостатки в организации внутрибанковских процессов и процедур, в содержании внутрибанковских распорядительных документов, порядков, положений, инструкций и т. п., а также в распределении функций, ответственности, обязанностей, прав и полномочий и т. д., равно как и в контроле над ними.

К этим проблемам тесно примыкает защита интересов вкладчиков, которые, как было отмечено выше, также входят в число «заинтересованных лиц». Впрочем, речь здесь должна была бы идти не только о тех клиентах кредитных организаций, которые связаны с ними именно договорами банковского вклада, но и обо всех лицах, которым требуются банковские услуги этих организаций (это важно с точки зрения содержания договоров на ДБО и внутрибанковских порядков, регламентирующих претензионную работу, где сложно найти соответствующие упоминания, поскольку акцент всегда делается на интересах самой кредитной организации). Таких лиц, понятно, намного больше, чем вкладчиков, вследствие чего и обязательства кредитных организаций оказываются существенно шире, особенно если учитывать многообразие возможных банковских услуг, реализуемых в рамках электронного банкинга, и вариантов ответственности кредитных организаций перед своими клиентами и органом банковского надзора. Корпоративность управления как раз и заключается в том, что гарантии выполнения этих обязательств следовало бы обеспечивать на всех уровнях менеджмента кредитных обязательств по всем «линейкам» подчиненности и подотчетности. Эти «линейки» сами подлежат адаптации вместе с внутрибанковскими процессами и процедурами, модифицируемыми при внедрении новых технологий банковского обслуживания в их жизненных циклах, за что отвечают, естественно, совет директоров и высшее руководство кредитной организации.

В завершение преамбулы рассматриваемого документа подчеркивается, что «практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается банк, или при необходимости принятия значимых корректирующих мер».

Очевидно, что при применении ТЭБ проблемные ситуации могут оказаться достаточно нетрадиционными и вообще связанными не только с самой кредитной организацией, но и с действиями ее удаленной клиентуры (которая весьма «охотно», например, создает инциденты информационной безопасности или делает ошибки при попытках осуществить банковские операции в рамках ДБО), а также с проблемами, которые могут иметь место на территории провайдера кредитной организации. В отношении таких ситуаций руководству кредитной организации целесообразно четко осознавать наличие тех или иных зависимостей банковской деятельности от третьих сторон, т. е. компаний, которые эту деятельность «всего лишь» обеспечивают. В большинстве случаев клиенты кредитной организации об этом обеспечении вряд ли догадываются, а поэтому, как показывает практика, все проблемы, связанные с выполнением обязательств сторонними организациями, задействованными в ИКБД, решать приходится сотрудникам самой этой организации (тот же второй, а то и первый уровень процессного подхода). В связи с изложенным уместно привести точку зрения Федеральной корпорации страхования депозитов США, выраженную в одном из руководств по оцениванию рисков, связанных с информационными системами: «Если финансовое учреждение взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, обслуживанием систем, администрированием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, связанных с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то его руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».

Эта формулировка имеет в известном отношении частный характер, но идея, заложенная в ней, понятна: за уровень обслуживания, обеспечиваемый провайдером, по американским канонам ответственность несет тот, кто его нанимает для оказания услуг кредитной организации.

В дополнение к сказанному следует заметить, что даже при заранее предусмотренной реорганизации корпоративного управления, которое, предположим, уже было реализовано в кредитной организации до внедрения очередной новой технологии ДБО, лицам, ответственным за управление рисками, все равно целесообразно осуществлять комплексный анализ возможного смещения профиля риска. Это обусловлено тем, что любая новая, тем более, возможно, не до конца изученная технология при всех своих достоинствах может преподнести малоприятные сюрпризы. К примеру, внедрение банковского обслуживания через Интернет может оказаться для кредитной организации чрезвычайно выгодным, только если ею приняты все меры:

— для гарантированной идентификации клиентов кредитной организации, которые приобретают известную анонимность (как и при любом ДБО);

— достоверной аутентификации информационных сообщений, поступающих из внешнего мира и ассоциируемых с легитимными клиентами;

— полноценного обеспечения информационной безопасности БАС, учитывающего угрозы сетевых атак;

— эффективной фильтрации входящего трафика ордеров клиентов вместе с реализацией специфических функций финансового мониторинга;

— обеспечения надежности ДБО с учетом форс-мажорных обстоятельств, в том числе связанных с работой провайдеров кредитной организации и т. п., помимо перечисленных самоочевидных положений.

Очевидно, что эффективное корпоративное управление в оптимальном варианте учитывает все особенности технологий и систем ДБО, которые требуют наличия специальных знаний у представителей как Совета директоров кредитной организации, так и ее высшего руководства (в терминах БКБН). В противном случае инициировать организацию новых внутрибанковских процессов в кредитной организации и адаптацию уже действующих окажется практически некому, если только не найдутся энтузиасты-исполнители.

В самом начале рассматриваемого документа акцентировалась необходимость обеспечения «эффективного корпоративного управления» (п. 8). Поскольку в анализируемом тексте определение этого понятия, т. е. того, какое именно корпоративное управление может считаться эффективным, отсутствует, логично предложить его интерпретацию исходя из описаний недостатков, которые свойственны наблюдаемым реалиям. Прежде всего это касается собственно перехода кредитной организации к обслуживанию клиентов посредством электронного банкинга начиная с возникновения первичных идей и предпосылок, относящихся к развитию банковского бизнеса в современных конкурентных условиях, продолжая адаптацией внутрибанковских процессов и заканчивая созданием пруденциальных условий применения технологий и автоматизированных систем такого рода. Изучение того, каким образом нередко подготавливается такой переход, свидетельствует, что во многих случаях итоговые решения, после которых «запускается» процесс внедрения тех или иных ТЭБ, принимаются если и не совсем стохастически, то, во всяком случае, без должного обоснования. Понятие «должное» употреблено здесь в том смысле, который, как правило, закладывает в свои документы БКБН. Здесь речь идет о целесообразности полноценного ТЭО при максимально возможном учете факторов, влияющих на содержание и качество банковской деятельности с учетом динамики рыночной конъюнктуры. В рассматриваемом документе, как отмечалось, говорится лишь о влиянии корпоративного управления:

на осуществление банковской деятельности на повседневной основе;

выполнение обязательств в части подотчетности перед своими акционерами и другими лицами;

обеспечение соответствия корпоративной деятельности и поведения ожиданиям того, что банк будет работать безопасным и надежным образом в соответствии с действующим законодательством и правилами.

Далее в анализируемом документе отмечается роль корпоративного управления в определении так называемых средств «мониторинга функционирования» [кредитной организации], который к тому же должен быть «эффективным» (п. 9). Понимание сложности ТЭБ, трактуемых как основа для осуществления современной банковской деятельности, вынуждает признать, что эффективным может считаться только такой мониторинг, который действительно позволяет контролировать функционирование кредитной организации как реального объекта, но через виртуальное пространство, с наличием всей информации, необходимой для принятия конструктивных решений относительно дальнейшего поддержания надежности банковской деятельности. В этом отношении остается только пожалеть, что БКБН не описал, помимо желательного распределения полномочий среди членов совета директоров, кто будет эти полномочия распределять. Это, как и в случае процессного подхода, тоже своего рода мета-уровень ответственности, которую могут нести только персоны с «недюжинным», т. е. двойным и тройным высшим образованием (а куда без него денешься в современной высокотехнологичной банковской сфере?!). Выполнение решений, кстати, необходимо контролировать, однако в условиях ТЭБ соответствующие процедуры основываются на компьютерных технологиях, и это неизбежно.

Давно известно, что сложность контролирующих систем может от двух до десяти раз превышать сложность систем контролируемых. Понятно, что кредитные организации не могут позволить себе такую роскошь, поэтому и система внутреннего контроля во многих кредитных организациях в отношении современных информационных технологий зачастую «так себе» и решение многих, особенно технологических и технических вопросов остается «на доверии». О выполнении же упоминавшегося принципа «четырех глаз» как при принятии решений, так и при осуществлении контроля нередко просто не приходится говорить, потому что даже при наличии этих «глаз» их квалификация (а это — главное!) ни в коей мере не адекватна сложности информационных технологий, применяемых кредитными организациями. Возникает логичный вопрос, а на чем в таком случае будет основана уверенность органов управления этих организаций в том, что все идет «как надо»? Какие гарантии именно руководство кредитной организации сможет дать ее клиентам и контролирующим органам? И вообще, так сказать, «кто охраняет часового» в современных условиях банковской деятельности и в ней самой?

Надо отметить, справедливости ради, что в других своих материалах БКБН постулирует необходимость проведения тщательного предварительного анализа новых банковских продуктов и видов деятельности, который позволил бы гарантировать понимание характера связанных с ними рисков и возможности его учета в процессе управления рисками. При этом еще до введения нового продукта руководству кредитных организаций предлагается утвердить адекватные функциональные инструкции и адаптировать систему управления рисками. Одновременно подчеркивается важность различения руководством кредитных организаций рисков, присущих новым продуктам и операциям, и учета их в соответствующих внутрибанковских инструкциях и системе контроля. Причем указывается, что нововведения, связанные с хеджированием рисков или управлением ими, следует заблаговременно рассматривать правлению кредитной организации или специально созданному им комитету. Следует заметить, что БКБН во многих своих материалах делает акцент на создании различных комитетов в высших органах управления кредитных организаций, особенно в ситуациях, связанных с потенциальными смещениями профилей банковских рисков (а это происходит практически всегда при внедрении ТЭБ). В то же время вопросы ответственности за правильный состав и выбор специалистов в таких комитетах, особенно когда речь идет о высоких технологиях, как правило, не обсуждаются и конкретные рекомендации не приводятся.

Из приведенных выше положений изначально следует то, что на всех иерархических уровнях управления в организации целесообразна преемственность, рассматриваемая как с позиций соответствия текущей и перспективной банковской деятельности принятой в кредитной организации «политике» (любимый термин БКБН), так и в плане обеспечения требуемой квалификации персонала, ответственного за успех этой деятельности. Это в свою очередь предполагает наличие на каждом из уровней менеджмента специалиста такой квалификации, которая позволяет ему подбирать подходящих специалистов следующего, более низкого уровня. А те уже в свою очередь должны обладать способностями, позволяющими эффективно работать с вновь внедряемыми технологиями и реализующими их системами и т. д. Тем самым обеспечивается преемственность на каждом из уровней менеджмента по всем формируемым в кредитной организации иерархическим «линиям» распределения обязанностей/ответственности и подчиненности/подотчетности, а значит, создаются и гарантии выполнения кредитной организацией принятых на себя обязательств.

Что касается эффективности системы корпоративного управления, то она определяется гарантиями достижения установленных в организации бизнес-целей на каждом из уровней менеджмента. Это в свою очередь зависит от того, насколько успешно адаптированы указанные линии к новым условиям наряду с внутрибанковскими процессами и процедурами. В любом случае при внедрении сложных банковских компьютерных технологий, способных внести серьезные изменения в ее бизнес-модели, необходимо задуматься, как минимум, о переподготовке персонала и о том, кем будут определяться состав и содержание соответствующих учебных курсов (иначе об «эффективности» говорить не придется), или же о целесообразности приема на работу специалистов, имеющих необходимую квалификацию. То и другое, на взгляд автора, неплохо иллюстрируется карикатурой, приведенной на рис. 4.1 (см. сайт ). Понятно, что на каждом уровне менеджмента и на конкретную исполнительскую должность необходимо «помещать» специалиста минимально необходимой, а лучше более высокой квалификации. В условиях внедрения в кредитной организации новой ТЭБ решение этой кадровой проблемы становится непростой задачей.

Таким образом, как и раньше, в высокотехнологичной среде «кадры решают все»; однако не только в рассмотренной части, поскольку в анализируемом документе БКБН фигурируют также понятия «надежное корпоративное управление» и «эффективное наблюдение» («естественно», не определенные в тексте документа). Эти понятия введены в связи с кратким упоминанием позиции органа банковского надзора (п. 11), который «чрезвычайно заинтересован в надежном корпоративном управлении, поскольку оно является необходимым компонентом безопасного и надежного функционирования банка и может влиять на профиль риска в случае ненадлежащей его реализации. Ввиду того что функции Совета директоров и высшего руководства в части определения политики, реализации политики и мониторинга соответствия требованиям являются ключевыми элементами функций контроля над банком, эффективное наблюдение над деятельностью и сделками банка со стороны его Совета и высшего руководства содействует поддержанию эффективной и рентабельной системы надзора. Надежное корпоративное управление содействует также защите вкладчиков кредитной организации и позволяет органу банковского надзора в большей степени полагаться на внутрибанковские процессы управления банковскими рисками и внутреннего контроля. Более того, практика надежного корпоративного управления особенно важна в проблемных ситуациях, в которых оказывается кредитная организация, или при необходимости принятия значимых корректирующих мер, поскольку надзор может потребовать от Совета директоров его существенного вовлечения в поиск решений и контроль реализации корректирующих мер».

Первое из двух упомянутых и необходимых для интерпретации базовых понятий, относящихся к «надежности», можно связать с наличием в системе менеджмента кредитной организации обоснованных гарантий такого выполнения функций, установленных на каждом из его иерархических уровней, или, иначе, должностных обязанностей, которое в свою очередь обеспечивало бы выполнение всей организацией своих обязательств перед клиентами и контролирующими органами. Для этого такие обязанности, равно как и квалификационные требования, должны соответствовать конкретным операционным функциям, предусмотренным на технологических участках во вновь вводимой СЭБ. Это относится не только к повседневной деятельности специалистов кредитной организации, но и к действиям в условиях возможных чрезвычайных ситуаций, которые следует предусматривать и оформлять в виде плана действий на случай таких обстоятельств. К сожалению, практика свидетельствует о том, что до этих важнейших аспектов банковской деятельности корпоративность отечественного банковского управления не всегда «дотягивает». Упоминавшийся разрыв между восприятием содержания банковской деятельности и осознанием новых форм ее осуществления посредством технологий и систем электронного банкинга проявляет себя и здесь, из-за чего ответственность за операционные функции часто «делегируется» самим исполнителям, которые, мало того, еще и сами себя контролируют (второй уровень процессного подхода).

Другое понятие, связанное с результативностью наблюдения, также имеет прямое отношение как к квалификации менеджеров разного уровня, так и к структуре кредитной организации и отдельных ее подразделений, так или иначе имеющих отношение к применению ТЭБ. Под эффективным наблюдением можно понимать лишь такой контроль, при котором полностью осознаются и учитываются системные взаимосвязи отдельных процедур, входящих в состав, возможно, разных внутрибанковских процессов.

На практике руководители перечисленных выше служб нередко не получают всех необходимых для адаптации реализуемых процедур указаний от курирующих вице-президентов или аналогичных должностных лиц кредитных организаций. Достаточно часто встречаются ситуации, когда даже в документарное обеспечение этих подразделений не вносится никаких изменений и дополнений несмотря на то, что кредитная организация внедряет одну систему ДБО за другой (как правило, это две и более системы интернет-банкинга, ориентированные на разную клиентуру или работающие через разные информационные контуры, системы интернет-трейдинга, мобильного банкинга, банкоматов и т. п.). Очевидно, что в подобных ситуациях ни о каком корпоративном управлении говорить не приходится, что бы при этом ни декларировалось кредитной организацией.

Вместе с тем не менее очевидно, что в условиях применения нескольких систем ДБО целесообразно использовать комплексный подход к организации деятельности перечисленных выше служб, а такая комплексность заведомо является прерогативой высших органов управления кредитной организацией, что, кстати, также постулируется БКБН. Фактически речь идет о принятии согласованных решений относительно одновременного внесения изменений в работу не одной, но ряда служб кредитной организации, что обусловлено именно радикальными изменениями в способах и условиях банковского обслуживания, привносимых ТЭБ, и мысль об этом упорядочении должна по идее стать превалирующей для этих органов управления.

Прежде всего такие изменения касаются работы службы автоматизации (информатизации) кредитной организации, которой неизбежно потребуется осознание особенностей нового ИКБД и к тому же обладание новой квалификацией в связи с внедрением новой для нее ТЭБ. Это может быть связано с возникновением необходимости изменения конфигурации внутрибанковской вычислительной сети (локальной или зональной), включая внедрение новых серверных мощностей для обслуживания расширяющейся клиентской базы и обработки направляемых клиентами ордеров. Это в свою очередь означает выделение дополнительного финансирования (а поскольку такое финансирование часто осуществляется по остаточному принципу, то потребуется еще и доказательная база, а доказывать надо известно кому — «корпоративным управляющим» и главному бухгалтеру); далее идут выбор поставщиков аппаратно-программного обеспечения, заключение контрактов, поставки, испытания, опытная эксплуатация и т. д. В то же время сама кредитная организация заинтересована в том, чтобы независимо от того, какие именно новые технологии внедряются, они не оказали негативного влияния на ее функционирование и опять-таки на выполнение взятых на себя обязательств перед клиентами и контролирующими органами.

При организации бизнес-процессов основными факторами надежности функционирования кредитной организации становятся именно программно-алгоритмическое обеспечение и обслуживание банковских автоматизированных систем и систем электронного банкинга. Этот постулат не является «открытием», но он приведен здесь потому что от этих факторов прямо зависит целостность клиентских и банковских данных и доступность банковского обслуживания. Под целостностью здесь уместно понимать соответствие информации установленным требованиям и невозможность ее несанкционированного изменения (искажения), а под доступностью — наличие возможности получения доступа авторизованными пользователями к требуемому им АПО — автоматизированным системам и приложениям (прикладным программам). Вопросы доступности сервисов кредитной организации и целостности передаваемых, обрабатываемых и хранимых банковских и клиентских данных в условиях ДБО становятся актуальными и для самой организации, и для ее клиентов, а следовательно, АПО БАС и СЭБ должны быть организованы таким образом, чтобы не оставалось незакрытых «дыр» в информационном обеспечении претензионной работы, финансового мониторинга, а также контролирующих, правоохранительных и судебных органов.

Следом за этим новая квалификация потребуется и службе внутреннего контроля, поскольку появятся новые (и не самые простые) подлежащие контролю процедуры. При этом возникают новые информационные сечения в БАС и (или) между нею и каждой СЭБ, новые информационные потоки, которые тоже необходимо контролировать, дополнительные массивы банковских и клиентских данных (начиная с бухгалтерского учета и заканчивая финансовым мониторингом, для которого установлен специальный набор правил и программ), равно как и новые формы банковской отчетности (внутренней и внешней, например, по форме 0409251). С точки зрения финансового мониторинга условия ДБО специфичны в первую очередь тем, что кредитная организация не всегда может быть уверена в том, что работает с официально зарегистрированным ею, легитимным клиентом (поскольку возникает непростая проблема обнаружения передачи средств (т. е. прав и полномочий) доступа к банковским счетам и управления ими при совершении противоправных действий, например финансовых преступлений). Следовательно, должен однозначно решаться вопрос: доступность для кого? Банк России, кстати, в свое время обратил на это внимание, выпустив соответствующие документы: Положение Банка России от 19 августа 2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Положение 262-П) и Письмо Банка России от 30 августа 2006 г. № 115-Т «Об исполнении Федерального закона „О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма“ в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)». В свою очередь клиент не всегда может быть уверен в том, что он действительно работает со «своим банком» (это проблема обнаружения, к примеру, «фишинга» и предотвращения соответствующих негативных для клиентов последствий).

Кроме того, добавляются вопросы пруденциальной организации взаимоотношений с провайдерами, входящими в ИКБД, которых тоже желательно контролировать с позиций обеспечения непрерывности процессинга, финансового состояния, доступности систем ДБО и т. п. Этот факт свидетельствует о целесообразности разработки и внедрения нового внутрибанковского процесса, в котором должны участвовать несколько структурных подразделений кредитной организации: информатизации, внутреннего контроля, информационной безопасности, правового обеспечения и т. д.

Если говорить конкретно об обеспечении информационной безопасности, то с ним возникает наибольшее количество проблемных вопросов, обусловленных возникновением того же ИКБД, следствием чего оказываются прежде всего расширение периметра информационной безопасности и возникновение новых зон концентрации источников рисков, а также расширение некоторых зон ответственности кредитной организации (хотя есть и другие аспекты). Необходимо отметить, что «сводить» решение всех проблем ДБО в рамках комплексного подхода с учетом вопросов информационной безопасности (в совокупности, кстати, с тем же внутренним контролем, проверяющим, как с ней обстоят дела) все равно приходится высшему руководству кредитной организации. Само «комплексирование» такого рода представляет собой отдельную задачу охватывающую синхронное видоизменение сразу нескольких внутрибанковских процессов с позиций обеспечения информационной безопасности кредитной организации, электронного банкинга и ее клиентов. Конечно, с внедрением ТЭБ ничего страшного не происходит при условии принятия грамотных и адекватных ситуации решений, но их еще надо принять, и обоснованно.

Специальное внимание целесообразно уделить также работе юридической службы кредитной организации, ведь отношения организации с клиентами в условиях ДБО меняются радикально. С одной стороны, целесообразно предусмотреть в текстах договоров с клиентами положения, которые взаимно обезопасили бы обе стороны от возможных конфликтных ситуаций, которые могут возникнуть в связи с отмечавшейся взаимной анонимностью. Следует подчеркнуть, что это не такая простая проблема, как может показаться, ввиду ряда сопутствующих негативных факторов. Типичными примерами являются обеспечение невозможности отказа от операции (взаимной), т. е. придание операции бесспорного характера в условиях документарного обмена в электронной форме, и распределение ответственности между сторонами в ситуациях прерывания обслуживания, как минимум, между кредитной организацией и каким-то провайдером. Есть еще и проблема противоправного использования ТЭБ за счет анонимности сторон, связанной с удаленностью.

Эти соображения в свою очередь обусловливают весьма внимательное отношение к содержанию договоров на ДБО, заключаемых кредитной организацией и с клиентами, и с провайдерами, а также процедурам финансового мониторинга. Поэтому специалистам юридической службы кредитной организации также уместно разбираться в технологических и даже, пожалуй, в технических вопросах, и такой квалификацией лучше обладать заранее, до того как клиент, совершивший ошибку или пострадавший от действий хакера, предъявит претензии по поводу пропавших денежных средств или сама кредитная организация окажется втянута через ДБО в аферу. При организации правовой поддержки ДБО и комплайенс-контроля полезно учитывать также дефицит специальной квалификации в области информационных технологий у лиц, принимающих судебные решения, и не очень богатую арбитражную практику. Кстати, в договорах на ДБО часто фигурируют упоминания о создании специальных комиссий, разбирающих конфликтные ситуации, но о требованиях к их составу, порядку формирования и работы, итоговым документам и их юридической силе и т. п. в этих документах нередко ничего не говорится. Все перечисленное свидетельствует о том, что руководству кредитной организации надо преодолеть «квалификационный разрыв» на стыке разных дисциплин, и это — еще один негативный фактор, препятствующий достижению «истинной» корпоративности управления.

Во избежание реализации описанных здесь сценариев развития угроз надежности банковской деятельности целесообразно еще до перехода к практическому использованию ДБО и обслуживанию (не только представителей персонала кредитной организации, с чего часто начинаются пилотные проекты такого рода — своего рода этап бета-тестирования СЭБ) модернизировать организацию собственно принятия управленческих решений и контроля, корпоративного по своим принципам и масштабу. В литературе по этому вопросу оба этих процесса обычно объединяют в одно понятие «корпоративного управления», и хотя, с точки зрения автора, это не совсем корректно, в последующем изложении будет учитываться именно такой подход.

Для полноты картины, которая формируется анализируемым документом БКБН, следует упомянуть, что специальный раздел в нем посвящен роли надзорных органов, о чем руководителям кредитных организаций полезно иметь представление. В отношении этих контролирующих органов сформулированы и кратко поясняются шесть положений, которые, вероятно, также целесообразно учитывать совету директоров кредитной организации при формировании структуры корпоративного управления и распределении ответственности и обязанностей, подчиненности и подконтрольности. Каждое из таких положений начинается со слов «сотрудникам надзора следует», после которых формулируется содержательная часть описания функций этих сотрудников, а именно:

— обеспечивать наличие рекомендаций (руководства) для банков по надежному корпоративному управлению и его «проактивному» внедрению;

— рассматривать корпоративное управление как элемент защиты вкладчиков;

— определять, насколько банк воспринял и эффективно реализовал политику и практику надежного корпоративного управления;

— оценивать качество функций аудита и контроля в банке;

— анализировать влияние групповой структуры банка;

— обращать внимание совета директоров и руководства банка на проблемы, которые были выявлены в процессе выполнения надзорных функций.

Рассмотрение этих положений выходит за рамки книги, хотя можно отметить, что совмещение в одном документе рекомендаций для кредитных организаций и для органа банковского надзора может, вероятно, способствовать улучшению взаимопонимания между контролируемыми организациями и, как обычно пишет в своих документах БКБН, «регулятором» банковской деятельности. Ниже предлагается описание установленных этим комитетом принципов корпоративного управления вместе с их интерпретацией в приложении к практическому применению кредитными организациями технологий электронного банкинга с риск-ориентированной точки зрения.

 

4.2. Особенности организации управления и контроля в условиях применения электронного банкинга

Базельский комитет по банковскому надзору определил и прокомментировал следующие восемь принципов надежного корпоративного управления.

Принцип 1. Члены совета директоров должны быть квалифицированы для своих должностей, иметь ясное понимание своей роли в корпоративном управлении и быть способны выносить обоснованные суждения относительно деятельности банка.

В документе при этом подчеркивается, что «совет директоров является основным ответственным за операции и финансовую надежность своего банка», «банкам следует иметь адекватное количество и должную комбинацию директоров», и определяется ряд базовых требований к составу и содержанию деятельности руководящих органов кредитной организации. В современных условиях банковской деятельности (текущих и перспективных), т. е. в условиях применения технологий электронного банкинга осознание содержания ответственности и комбинация квалификаций директоров представляют собой наиважнейшие требования, которые акционерам кредитной организации и ее наблюдательному совету следовало бы изначально предъявлять к высшему руководству такой организации. Практика этой деятельности свидетельствует, что возникновение многих источников компонентов банковских рисков оказывается следствием недостаточной компетентности тех, кто в кредитной организации принимает решения (или, что, пожалуй, чаще соответствует действительности, поддерживает предложения) о внедрении ДБО (это, бывает, осознается слишком поздно).

Можно с уверенностью предположить, что в подавляющем большинстве случаев никаких сомнений относительно упомянутой в формулировке первого принципа «роли» в деятельности кредитной организации члены ее совета директоров не испытывают. Однако в части, касающейся вынесения суждений об этой деятельности, в современных условиях требуются специальная квалификация и известная подготовка в предметной области ДБО, если кредитная организация внедрила какую-либо ТЭБ. Дело в том, что в число вопросов, по которым необходимо принимать руководящие решения, входит определение нужных этой организации характеристик всех компонентов ИКБД, с которыми неизбежно придется иметь дело. Это относится и к специалистам кредитной организации, и к ее руководителям, потому что решения предлагаются обычно указанными специалистами, но оценивать и утверждать (или отклонять) их должны руководители. Главное, о чем при этом следует позаботиться — это об удержании уровней рассматривавшихся выше компонентов банковских рисков в допустимых пределах, причем заранее понимая, что действие новых компонентов (возникновения источников) этих рисков может оказаться априори неизвестным, непредсказуемым даже специалистами в области ИТ и обеспечения информационной безопасности.

Зарубежными органами банковского регулирования и надзора в последние годы регулярно публикуются все новые материалы, содержащие полезные рекомендации для органов управления кредитных организаций, применяющих новые, а иногда и довольно «экзотические» технологии ДБО. При этом предполагается, что детальная интерпретация в таких публикациях постулатов, гарантирующих «безрисковую» деятельность, остается прерогативой самих кредитных организаций, на руководство которых соответствующие документы и ориентированы, и, скорее, даже нецелесообразна. Вместе с тем практика изучения применения технологий электронного банкинга свидетельствует о том, что это — ошибочная позиция, из-за чего в том числе своего рода «плата за страх» в условиях применения таких технологий может оказаться слишком высокой (особенно когда клиенты кредитных организаций теряют суммы от сотен тысяч до десятков миллионов рублей). Кстати говоря, надо учитывать и негативное влияние традиционного наследия, о котором уже упоминалось: при внедрении ТЭБ стык гуманитарных (финансовых, экономических, юридических) и технических дисциплин (информатика, связь, информационная безопасность) не так легко сделать «безшовным».

Все упоминавшиеся ранее зоны концентрации источников банковских рисков и зоны ответственности кредитной организации в оптимальном варианте должны изучаться и анализироваться ее руководством (коль скоро именно по его решению клиентам этой организации предлагается ДБО), причем проводя четкие различия между этими зонами в ИКБД. Качество учета влияния этих зон и их характеристик на деятельность и состояние кредитной организации зависит именно от осознания содержания ответственности и комбинации квалификаций ее директоров и высшего руководства, поэтому описываемые требования к этим лицам могут показаться завышенными, однако это — тоже неизбежная плата за риск.

Стратегический риск является первым из тех банковских рисков, которые реализуются вследствие недостаточной компетентности ответственных лиц, которые принимают решения относительно внедрения ТЭБ. Особенности же реализации таких решений могут оказаться завуалированными, скрытыми последствиями реализации типичных банковских рисков. Очевидно, что, принимая решение, скажем, о развертывании сети банкоматов, высшее руководство кредитной организации обязано предусмотреть все возможные первопричины и варианты реализации компонентов банковских рисков: нарушения работы АПО (самих банкоматов, БАС кредитной организации или процессингового центра), аварии линий связи, несвоевременное денежное подкрепление, отпуска ответственных лиц, аварии у провайдеров каналов связи, банкоматные мошенничества (включая появление новых программ-вирусов, с помощью которых совершаются хищения с карточных счетов клиентов) и многое другое вплоть до возможных «отказов в обслуживании» во время сильных морозов. Можно отметить, что эти «автоматические кассовые машины» — технологически и технически не самый сложный вариант ДБО, хотя сам по себе далеко не простой (учитывая варианты аренды банкоматных сетей и управления ими через Интернет). В их АПО, кстати, основной акцент в последнее время делается кредитными организациями на развитии многофункционального банковского обслуживания, интегрирующего различные информационные технологии в интересах повышения эффективности и снижения рисков банковской деятельности. Совмещение кассовых, платежных, валютообменных, транзакционных и других операций в устройствах такого типа требует существенных изменений в подходе к выявлению, анализу, мониторингу компонентов типичных банковских рисков и управлению ими, которые должны находить отражение во внутрибанковском процессе УБР (в оптимальном варианте его организации).

В завершение анализа первого принципа корпоративного управления необходимо упомянуть о распределении обязанностей и ответственности в кредитной организации в части управления и в части контроля ТЭБ. Назначать на ответственные должности менеджеров высшего и среднего звена, равно как и на ключевые исполнительские, целесообразно сотрудников, обладающих знаниями и квалификацией, необходимыми для исполнения своих, зачастую сложных (поскольку сами ТЭБ такие) обязанностей. Понятно, что тот, кто осуществляет такие назначения, сам должен обладать квалификацией, достаточной для того, чтобы оценить квалификацию назначаемых сотрудников, причем до того, как они приступят к работе, а не после того, когда эта квалификация, вернее, ее отсутствие, проявит себя негативным образом. Соответственно и ролевые функции в части подбора персонала логично распределять на уровне высшего руководства с учетом профессиональных качеств каждого из его членов. Скорее, впрочем, наоборот: современное банковское дело — занятие весьма непростое и организационно, и технологически, и технически. Случайные люди вряд ли смогут заниматься им эффективно, имея в виду положительный эффект для клиентов кредитной организации, для нее самой и для контролирующих ее деятельность органов.

Принцип 2. Совету директоров следует утверждать и контролировать стратегические цели банка и корпоративные ценности, которые пропагандируются по всей банковской организации.

В комментариях к этому принципу акцент делается на том, что «совету директоров следует обеспечить внедрение высшим руководством стратегической политики и процедур, разработанных в интересах содействия профессионализму деятельности и целостности. Этому совету следует также гарантировать реализацию высшим руководством такой политики, которая запрещала бы (или должным образом ограничивала) деятельность, отношения или ситуации, которые могут ухудшить качество корпоративного управления». Упоминание о профессионализме более чем уместно в условиях применения ТЭБ кредитной организацией, но что это может или должно означать конкретно и что именно может негативно повлиять на качество корпоративного управления в этих условиях?! На такие вопросы не так легко найти ответы, как это может показаться при принятии решения о внедрении СЭБ.

Содержание понятия «корпоративные ценности» претерпевает расширение, тем более что негативное действие «человеческого фактора» никто не отменял, а в условиях применения ТЭБ это действие может оказаться завуалировано распределенными компьютерными системами и телекоммуникационными сетями, лежащими в основе реализации любой ТЭБ. Соответственно высшему руководству кредитной организации, вероятно, придется задумываться о том, насколько хорошо сможет оно контролировать приверженность этим ценностям специалистов в области компьютерных технологий (особенно уровня администраторов). Ситуация усугубляется тем, что деятельность таких специалистов в киберпространстве весьма далека от транспарентности, а отношение к таким сотрудникам нередко остается прежним, как к людям, говорящим на «птичьем языке». Тем самым, между прочим, демонстрируется «корпоративное непонимание» степени и серьезности зависимости кредитной организации и ее клиентов от компьютерных технологий.

Следует подчеркнуть, что значительная часть мероприятий, проводимых в обеспечение сохранения «корпоративных ценностей», обычно имеет запретительный или ограничительный характер. Поэтому руководству кредитных организаций приходится в новых условиях либо самому разрабатывать такие меры (а их неизбежно становится все больше и они становятся все «тоньше»), либо обращаться к специалистам, имеющим необходимую профессиональную подготовку. Если говорить о том, что в большинстве случаев причины «недостижения» стратегических целей связываются с некомпетентностью, халатностью и злым умыслом инсайдеров (персонала) кредитных организаций, то акцент делается на обеспечении гарантий информационной безопасности. Вследствие этого налагаются запреты на использование в кредитной организации мобильных носителей информации (флэш-карт, компакт-дисков, выносных накопителей на жестких дисках), доступ в Интернет в целом или отдельные его зоны, пользование устройствами мобильной компьютерной связи, подключение модемов, применение технологии виртуальных частных сетей (VPN) и т. п.

Это лишь еще один пример, а в общем случае если требуется обеспечить реализацию высшим руководством кредитной организации такой политики, которая должным образом ограничивала бы деятельность, отношения или принятие решений, которые могли бы снизить качество корпоративного управления, то необходим анализ конкретной формирующейся ситуации. Целесообразно понять, что это означает в конкретной кредитной организации, внедряющей определенную (и, возможно, заранее не очень хорошо изученную) ТЭБ и получающей вместе с ним некий ИКБД, простирающийся, возможно, до ее бэк-офиса. А самое главное — желательно отчетливо представлять себе, что именно может негативно повлиять на качество корпоративного управления в складывающихся условиях.

Принцип 3. Совету директоров следует устанавливать в организации четкую подчиненность и подотчетность и обеспечивать ее соблюдение.

В этой части постулируется, с одной стороны, то, что «эффективно действующие советы директоров четко определяют полномочия и распределение основной ответственности для себя, равно как и для высшего менеджмента. Они также понимают, что неопределенная подотчетность или же неясность, множественность иерархий ответственности может усугублять проблему из-за несвоевременных или ослабленных реакций». Очевидно, что для реализации первого положения члены совета директоров должны иметь отчетливое представление и об ответственности, и о полномочиях, которые касаются технологий, реализуемых в виртуальном пространстве. С другой стороны, постулируется, что «высшее руководство несет ответственность за делегирование полномочий персоналу и создание структуры менеджмента, которая способствует подотчетности, не теряя осознания обязательств менеджмента в отношении наблюдения за реализацией такой делегированной ответственности и его исключительной ответственности перед советом директоров за функционирование банка». Опять-таки, тот, кто делегирует ответственность (к тому же обремененную, по необходимости, изрядной квалификацией), должен, вероятно, иметь представление о тех полномочиях, которые он не формально (и документально зафиксировано!), а фактически передает, тем более что они реализуются хотя и в физическом, но отнюдь не в реальном, воспринимаемом органами чувств пространстве, и могут к тому же затрагивать разные уровни внутрибанковской иерархии и контроля.

Как показывает практика, внедрение новых банковских информационных технологий, таких как технологии электронного банкинга, может внести некий «сумбур» в налаженную банковскую жизнь. Как правило, специалистов, которые профессионально разбираются в этих технологиях, не хватает, что во многом объясняется попаданием в нашу страну таких технологий в основном из-за рубежа. Наблюдаются также активные попытки зарубежных компаний-разработчиков банковского программного обеспечения внедриться на российский рынок. Применение любой ТЭБ неизбежно связано с приобретением новой или совершенствованием имеющейся квалификации, вследствие чего задача распределения в кредитной организации ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности может оказаться достаточно непростой. Решать же ее, кроме высшего руководства этой организации, зачастую некому, если только не найдутся в ней энтузиасты, которые спасают ситуацию за счет личной инициативы. Однако, учитывая сложность ТЭБ, полагаться на энтузиазм и специалистов, которые, как нередко приходится слышать, «все знают, вот пусть и делают» — без точных указаний и бесконтрольно — дело рискованное, а наносимый в результате такой халатности ущерб зависит от того, в отношении каких именно массивов данных «сработает» человеческий фактор.

При недостатке понимания того, как функционируют внедряемые технологии и соответствующее АЛО СЭБ, многие компоненты рисков связаны с ошибками в упомянутом выше распределении. Как правило, недостатки в корпоративном управлении проявляются с начала внедрения ТЭБ. В оптимальном варианте руководство кредитной организации инициирует процесс разработки комплекта документарного обеспечения внедряемой ТЭБ (а это свидетельствует, что в его составе имеются лица, знающие о необходимости этого процесса и представляющие его содержание). К сожалению, до настоящего времени многое в области информационных технологий все еще делается, как говорят, «на коленях» и «с колес», что всегда приводит к реализации компонентов банковских рисков и соответственно финансовым потерям, причем о причинах этих потерь нередко даже не догадываются как раз те, кто должен был бы эти потери предотвратить.

Поскольку ТЭБ реализуются в виртуальном пространстве, еще на начальном этапе внедрения следует задуматься об их управляемости и контролируемости. Здесь распределение подчиненности и подотчетности целесообразно устанавливать таким образом, чтобы деятельность в этом пространстве ни в коем случае не зависела полностью от лиц, обладающих уникальными полномочиями в кредитной организации. Речь идет о повсеместно встречаемой чрезмерной концентрации полномочий в руках отдельных должностных лиц, чаще всего это администраторы различного назначения: системные, сетевые, информационной безопасности, баз данных и т. п. Членам высшего менеджмента кредитной организации целесообразно отчетливо понимать, что специалистами этого круга не так просто руководить, как, например, операционистами, деятельность которых ограничена функционалом интерфейса, с помощью которого они управляют банковскими платежными и другими технологическими процессами. Деятельность таких специалистов еще сложнее контролировать, особенно когда дело касается банковских информационных технологических процессов. Членам совета директоров целесообразно иметь отчетливое представление о том, возможно ли осуществление каких-либо несанкционированных действий с помощью ТЭБ (к примеру, в оказавшихся неподконтрольными информационных сечениях автоматизированных систем), а также о том, чем именно гарантируются полнота и целостность информации, получаемой для оценки финансовых результатов деятельности кредитной организации и в последующем служащей для принятия руководящих решений.

Делегирование ответственности в виртуальном пространстве, реализация которой требует незаурядной квалификации, стало в современном компьютерном мире серьезной проблемой двойственного характера, поскольку необходимо не только определить и распределить права и полномочия, но и обеспечить эффективный контроль за их использованием. ТЭБ принципиально осложняют ситуацию тем, что указанное распределение само оказывается распределенным: руководству кредитной организации целесообразно четко осознавать (и фиксировать это осознание во внутрибанковских документах), какие именно полномочия она «выпускает из рук», полагаясь на клиентов и провайдеров, а также какие средства компенсации утраты полного контроля за их деятельностью (хеджирования сопутствующих компонентов рисков) имеются в ее распоряжении.

Принцип 4. Совету директоров следует обеспечивать наличие должного наблюдения со стороны высшего руководства, согласующегося с политикой совета.

В комментарии к этому принципу отмечается, что «членам совета директоров и высшего руководства, отвечающим за повседневное наблюдение над менеджментом в банке, следует обладать должной квалификацией, которая обеспечит управление назначенной им деловой активностью равно как и требуемый контроль над ключевыми исполнителями по данному направлению». Это положение имеет принципиальное значение при работе в высокотехнологичной среде, поскольку речь в этом случае идет о контроле над работой профессионалов в области компьютерных технологий, как правило, весьма высокой квалификации. Понятно, что для роста квалификации всегда существуют какие-то пределы, так что в ситуациях применения распределенных компьютерных систем необходимо известное усложнение структуры самого контроля как плата за невозможность «объять необъятное» и обеспечение совокупной квалификации.

В этом принципе заложены очень важные идеи преемственности и обеспечения ее на разных уровнях иерархии кредитной организации. В то же время упоминавшийся ранее разрыв между традиционным восприятием содержания банковской деятельности и новыми способами и условиями ее осуществления может и здесь сыграть негативную роль, приводя к нарушению непрерывности и целостности корпоративного управления. Проблемы заключаются в том, что, во-первых, в условиях ТЭБ не так просто обеспечить это «должное наблюдение», о чем уже упоминалось выше, и, во-вторых, не так просто гарантировать адекватное понимание особенностей технологий и систем ДБО на разных уровнях иерархии в кредитной организации. Простейшим примером в этом случае может служить содержание должностных инструкций, которое варьируется на разных уровнях менеджмента и нередко радикально отличается от исполнительского уровня.

Опыт практического изучения этого, казалось бы достаточно «узкого» вопроса свидетельствует, что понимание того, каким образом можно обеспечить должное наблюдение со стороны высшего руководства в условиях применения ТЭБ, не является полным. Выражается это, в частности, в том, что должностные инструкции исполнительского уровня (например, специалистов, старших, ведущих, иногда главных специалистов), как правило, требуют знания настроек и функционирования совершенно конкретных, принятых или принимаемых «на вооружение» кредитной организацией программно-информационных комплексов (или, как иногда говорят, «программных продуктов»). Это могут быть комплексы самого разного назначения: операционного дня, ДБО, различных серверов (баз данных и других), брандмауэров, маршрутизаторов, телекоммуникационные и т. п. Также могут предъявляться требования знания определенных языков программирования, инструментальной среды систем управления базами данных и др. Таким образом, речь идет о достаточно узкой и во многом заранее известной квалификации и глубоких, детальных знаниях операционной среды банковской деятельности. В то же время в должностных инструкциях менеджеров разных уровней подобные положения встречаются нечасто, причем относится это к руководителям департаментов, управлений, отделов и их заместителям. Очевидно наличие почвы для нарушения целостности управления: на каких-то уровнях неизбежны разрывы в понимании того, что именно происходит в компьютерных системах, как этими процедурами управлять и, что, возможно, даже более важно, как контролировать происходящее.

Практически любой контроль в компьютерных системах обеспечивается за счет формирования и ведения специальных файлов: системных журналов (так называемых «логов») и аудиторских журналов («трейлов»). Специалисты очень хорошо понимают ценность таких файлов, особенно когда возникает необходимость в системных «откатах» и восстановлении данных и (или) процессинга из-за сбоев или ошибок, в расследовании инцидентов (в том числе информационной безопасности), возникновении ситуаций отказа от операции и т. п. Однако внедрить всю «линейку» подчиненности и подотчетности с тем, чтобы руководство кредитной организации могло получить как можно более полную управленческую информацию в любой момент времени, организовать соответствующие мероприятия в иерархии подчиненности и проконтролировать их выполнение с доведением до конкретных массивов банковских и клиентских данных, — это уже искусство корпоративного управления (к тому же если происходит все это в многофилиальной системе, в которой филиалы кредитной организации также осуществляют ДБО).

Принцип 5. Совету директоров и высшему руководству следует эффективно использовать результаты работы, выполняемой службой внутреннего аудита, внешними аудиторами и службой внутреннего контроля.

В связи с этим принципом подчеркивается, что «высшему руководству следует осознавать значимость эффективного внешнего и внутреннего аудита, а также контроля в обеспечении долгосрочной надежности банка». В этом отношении необходимо заметить, что, во-первых, квалификация аудиторов должна позволять им выполнять свою работу в высокотехнологичной среде, а во-вторых, учитывая не столь долгую практику аудиторской деятельности в России вообще, для выбора «подходящей» в конкретной ситуации аудиторской компании потребуется, вероятно, провести достаточно объемный анализ этого рынка услуг в поисках специалистов нужной квалификации. Понятно, что это «по силам» не каждой кредитной организации, так как для оценки уровня квалификации необходимо располагать сопоставимой суммой знаний — если не большей, то и не меньшей.

Вопросы осуществления внутреннего и внешнего аудита в связи с применением кредитными организациями ТЭБ до настоящего времени не прорабатывались ни в банковском сообществе, ни законодателями. Существуют отдельные рекомендации, разработанные БКБН и другими зарубежными органами банковского регулирования и надзора, но считать их адекватными с точки зрения осознания значимости этой проблематики пока еще преждевременно, хотя ряд российских кредитных организаций и дочерних организаций зарубежных коммерческих банков имеют опыт привлечения внешних аудиторов информационных технологий, но делают это «по личной инициативе» и без тщательной проработки программ таких проверок (на основе установленной методологии).

В последнее время все большую актуальность вместе с внедрением технологий электронного банкинга и связанных с их реализацией банковских автоматизированных систем приобретает также проблематика осуществления внутреннего контроля в кредитных организациях, использующих такие технологии. Руководству кредитных организаций, внедряющих ТЭБ, целесообразно учитывать тот факт, что дело с этими технологиями «зашло далеко» и обратной дороги, скорее всего, нет. Поэтому настал момент «остановиться и оглянуться», оценивая состояние внутреннего контроля в первую очередь с позиций качества управления рисками (подробно эта тема будет рассмотрена в следующем разделе).

Принцип 6. Совету директоров следует обеспечивать соответствие политики и практики выплаты вознаграждения корпоративной культуре банка, долгосрочным ориентирам (целям) и стратегии, а также условиям контроля.

Этот принцип касается рассматриваемой тематики, пожалуй, только в части оплаты труда наиболее квалифицированных специалистов, непосредственно работающих с системами электронного банкинга: администраторов различных направлений, но он является весьма важным. В комментариях БКБН к этому принципу сказано, что, во-первых, «отсутствие связи между стимулирующим вознаграждением для членов совета директоров и высшего руководства и долгосрочной деловой стратегией может привести к действиям, противоречащим интересам банка и его акционеров…» и, во-вторых, что «совету директоров или специально назначенному комитету следует определить и установить вознаграждения для членов совета директоров и высшего руководства, соответствующие принятой политике компенсации, а также гарантировать, что такое вознаграждение соответствует культуре банка, долгосрочным целям и стратегии, условиям контроля». Приведенные комментарии вряд ли можно считать полными, и неполнота эта обусловлена, по-видимому, некоторой «удаленностью» специалистов БКБН от реальности.

В этом принципе логично было бы упомянуть тех специалистов, от которых реально зависит эффективное функционирование кредитной организации, а именно тех, кто управляет ее БАС и системами ДБО. Практически это означает целесообразность адекватной оплаты квалификации, т. е. создание условий «удержания» наиболее квалифицированных специалистов, непосредственно работающих с ТЭБ. Это относится в первую очередь к различным администраторам БАС и компонентов распределенных компьютерных систем, но не только к ним. Не секрет, что такие специалисты, безусловно, считают себя «самыми умными» (и иногда реально близки к этому состоянию), вследствие чего они нередко приходят к выводу о явно недостаточной оценке своего труда руководством кредитной организации. Это свойственно различным специалистам в области ИТ и их руководителям в структуре иерархии кредитных организаций, и может привести к проблемам.

В настоящее время уже отмечаются заметные миграционные процессы в банковском секторе, связанные не только с индивидуальными, но и с групповыми переходами «команд» специалистов ИТ из одной кредитной организации в другую. Вместе с собой эти люди уносят большие объемы знаний, причем не только специальных, но и о БАС и СЭБ той кредитной организации, которую покидают. Во многих публикациях в последнее время как в нашей стране, так и за рубежом обращается внимание на то, что при неблагоприятном стечении личных обстоятельств специалисты наиболее высокой квалификации способны нанести и наиболее серьезный ущерб интересам как самой кредитной организации, так и ее клиентов. Тот факт, что в рассматриваемом принципе БКБН речь идет только о членах совета директоров и высшего менеджмента кредитной организации, похоже, свидетельствует о том, что и в этом комитете не до конца осознают степень зависимости современной банковской деятельности от информационных технологий и реализующих эти технологии автоматизированных систем.

Принцип 7. Управление банком должно быть прозрачным.

Этот принцип касается в основном устранения конфликтов интересов и к рассматриваемой тематике не имеет прямого отношения. Тем не менее надо кратко отметить, что в одном из пунктов комментариев к этому принципу упоминается, что «желательно своевременное и точное раскрытие на общедоступных web-сайтах кредитной организации» сведений о ее структуре, правах собственности и внутрибанковской политике (просто в качестве дополнения к установленным формам публикуемой банковской отчетности сказанное не следует воспринимать как исчерпывающий перечень). При этом отмечалось, что раскрываемую информацию целесообразно соотносить с размером, сложностью, структурой собственности, экономической значимостью и профилем риска банка. Можно сделать замечания к этим положениям в том плане, что получение информации через Интернет в современном мире становится отнюдь не дополнительным, а одним из основных способов информирования для многих представителей общества. Поэтому, во-первых, значимость представительства в Интернете и его информационного контента трудно переоценить, а во-вторых, учитывая такую значимость, логично предположить, что вопросы организации, ведения и сопровождения задействуемых кредитной организацией web-сайтов, равно как и соответствующего контроля (включая определение содержания отношений с компаниями, которые могут отвечать за функционирование представительства кредитной организации в мировой Сети), также попадают в сферу интересов совета директоров и высшего руководства кредитных организаций.

Принцип 8. Совету директоров и высшему руководству следует понимать операционную структуру банка, включая и то, под какие юрисдикции подпадает банк в своей деятельности, или через посредство структур, препятствующих прозрачности (т. е. должен реализоваться принцип «знай свою структуру»).

Этот принцип — последний по порядку, но один из первых по значимости, впрочем, его присутствие вызывает некоторое удивление из-за своей самоочевидности: если совет директоров и высшее руководство кредитной организации не понимают ее операционной структуры, то вряд ли их можно считать реальными руководителями, да и продлиться такое «руководство» может недолго. Другое дело, что при применении ТЭБ эта структура может усложниться как за счет применения распределенных компьютерных систем, локальных и зональных вычислительных сетей, так и в случаях интернет- и мобильного банкинга — глобальных информационных сетей. Представить себе все информационные контуры банковской деятельности, которые возникают при множественном применении ТЭБ, а следовательно, и уязвимости кредитной организации и ее клиентов с точки зрения смещения профиля рисков может оказаться весьма затруднительно.

В отношении ИКБД можно акцентировать ряд вопросов, прежде всего возможное содержание работы кредитной организации через те или иные структуры, которые могут снижать прозрачность его деятельности. В приложении к ТЭБ это, как правило, различные провайдеры, которые осуществляют те или иные виды обслуживания (как, например, широко известная система Factura.ru) или процессинг и хранение банковских данных. Кроме того, во многих случаях ДБО кредитная организация неизбежно и с клиентами взаимодействует через провайдеров. То же самое относится к ситуациям, когда такая организация или ее подразделения работают через «другие юрисдикции», — в случае трансграничных операций и передачи банковских и клиентских данных. Во всех этих случаях руководству кредитной организации, как указывается в материалах БКБН, следует адаптировать функции, выполняемые службой внутреннего контроля, и управление рисками с учетом внешних факторов такого рода. Сюда же уместно добавить и некоторые аспекты осуществления финансового мониторинга, возникающие из-за известной анонимности ДБО (двусторонней). Поэтому к наращиванию «технологической базы» банковской деятельности целесообразно относиться с известной осторожностью, не внедряя новые технологии до тех пор, пока не будет достигнуто полное понимание их специфики.

Несмотря на объемность проведенного рассмотрения, на взгляд автора, к восьми рассмотренным принципам можно было бы обоснованно добавить еще два немаловажных, которые могут иметь прямое отношение к корпоративному управлению в условиях применения ТЭБ, а именно:

1) совету директоров и высшему руководству следует сознавать повышение значимости обеспечения информационной безопасности внутрибанковских процессов, процедур и массивов данных, обрабатываемых и хранимых кредитной организацией, в условиях применения технологий электронного банкинга;

2) совету директоров и высшему руководству следует четко видеть зависимость кредитной организации от сторонних организаций, не имеющих прямого отношения к банковской деятельности, но обеспечивающих ее осуществление (т. е. от провайдеров и вендоров).

На самом деле обеим этим проблемам БКБН уделял известное внимание в базовом материале, посвященном принципам управления рисками при электронном банкинге, и поскольку тогда значимость их подчеркивалась, несколько странно отсутствие упоминания о них в анализируемом документе. Внедрение новых технологий должно было бы приводить как к пересмотру политики обеспечения информационной безопасности, так и к дополнительному анализу ситуации, например, в плане принятия решения о необходимости разработки частных политик безопасности для каждой из систем ДБО. Кстати, что касается обеспечения информационной безопасности, то еще в одном из более ранних документов 1998 г. БКБН говорилось о необходимости распространения внутреннего контроля на его оценку в целом, однако в этой публикации этот вопрос не только не акцентирован, но и вообще опущен. Тем не менее он является принципиально важным, так как от качества обеспечения информационной безопасности в современных условиях (применения ТЭБ) может непосредственно зависеть «жизнеспособность» кредитной организации.

Принцип же, касающийся отношений с провайдерами, предполагает осознание зависимости кредитной организации от компаний, которые обеспечивают передачу, обработку, хранение массивов банковских данных или реализуют другие функции, переданные на аутсорсинг. Основное внимание здесь логично уделять при необходимости вариантам резервирования и оперативной смены провайдера, а также в предельном случае оперативного возврата выполнения переданных на аутсорсинг функций на свои «мощности» без прерывания операционной деятельности и выполнения своих обязательств перед клиентами. Последнее требует организации соответствующего планирования и тестирования планов такого рода на их реализуемость

Адаптация корпоративного управления к условиям применения ТЭБ может показаться или оказаться достаточно трудоемким и аналитически сложным процессом. На самом деле ничего сверхсложного в создании пруденциальных условий применения любых банковских информационных технологий нет. Достаточно грамотно решать административные, организационные, технологические и технические вопросы в рамках полноценного и адекватного масштабам и сложности банковской деятельности корпоративного процесса. Тот факт, что вопросы корпоративного управления вышли сегодня на первый план в проблематике гарантировано эффективной банковской деятельности, свидетельствует и о том, что накопилась критическая масса проблем, попадающих в данную категорию, и о том, что необходим качественный скачок в организации внутрибанковских процессов и процедур для их решении, и о том, что невнимание к проблемам такого рода может оказаться серьезнейшим фактором риска для современных высокотехнологичных кредитных организаций.