"Управление в кредитной организации", 2007, N 2

ПРОЦЕССНЫЙ ПОДХОД К ПРИМЕНЕНИЮ ТЕХНОЛОГИЙ ЭЛЕКТРОННОГО

БАНКИНГА С ПОЗИЦИЙ РИСК-ФОКУСИРОВАННОГО НАДЗОРА <1>

(Продолжение. Начало см. "Управление в кредитной организации", 2006, N 6, 2007, N 1)

     
   ————————————————————————————————
   

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

Внедрение кредитными организациями все новых технологий электронного банкинга обусловливает как организацию новых внутрибанковских процессов, так и необходимость адаптации большинства существующих основных процессов такого рода к применению этих технологий. В число таких процессов входят прежде всего информатизация банковской деятельности, обеспечение ее информационной безопасности, внутренний контроль над ней, противодействие возможному противоправному использованию банковских информационных технологий и аутсорсинг. Применение процессного подхода может содействовать структурированию и оптимизации обновленных бизнес-моделей кредитных организаций.

Первое десятилетие XXI века оказалось отмечено не только интенсивной автоматизацией банковской деятельности в целом и внедрением в ее поддержку и обеспечение распределенных компьютерных систем, но также все более широким применением технологий электронного банкинга или, иначе, дистанционного банковского обслуживания (ДБО). В первых двух частях статьи акцент делался на целесообразности определенных изменений в бизнес-моделях кредитных организаций, переходящих к ДБО, тем более делающих основной акцент именно на таких вариантах предоставления клиентам банковских услуг. В то же время, если говорить об обеспечении надежности банковской деятельности независимо от тех специфических банковских информационных технологий, которые ее обеспечивают, то нельзя не рассмотреть проблематику адаптации уже существующих внутрибанковских процессов и процедур, составляющих эти процессы, к новым условиям данной деятельности. Как свидетельствует практика, далеко не все кредитные организации осознают возможное влияние технологий ДБО на принимаемые и поддерживаемые ими бизнес-модели и стратегические планы, ибо новые технологии такого рода способны существенно изменить эти условия, а также повысить уровни принимаемых банковских рисков.

В заключительной части мы рассматриваем не те условия, которые необходимо создавать и поддерживать в кредитной организации для эффективного применения новых банковских информационных технологий, а говорим об условиях банковского обслуживания и функционирования кредитной организации в целом как агента - в данном случае дистанционного финансового посредничества. В настоящее время стало очевидным, что сам характер ДБО (особенно осуществляемого через Интернет (интернет-банкинг)) прежде всего принципиально изменяет характер отношений между кредитной организацией и ее клиентурой, равно как между кредитной организацией и окружающим ее глобальным "киберпространством", которого ранее, в "традиционных" условиях классической банковской деятельности, просто не существовало. Это киберпространство образуется как распределенными компьютерными системами как таковыми - в виде локальных или зональных вычислительных систем кредитной организации (соответственно ЛВС и ЗВС) в случае наличия филиальной структуры, так и зональными и (теперь уже) глобальными сетевыми структурами. При этом в него входят в качестве еще одного фактора, изменяющего бизнес-модели банковской деятельности и компьютерные системы сторонних организаций, ранее не участвовавших в процессах предоставления банковских услуг, системы провайдеров разного рода. Понятно, что "повлиять на влияние" этого фактора кредитные организации зачастую не могут, а за зависимость от провайдеров приходится расплачиваться необходимостью учета дополнительных факторов банковских рисков.

Здесь необходимо отметить, что создание зональной сети на основе исходной локальной сети кредитной организации как развитие сетевой инфраструктуры (что типично при расширении сферы деятельности кредитной организации) может привести к геометрической прогрессии в сложности подлежащих анализу новых системных взаимосвязей. Очевидно, что проекты такого рода целесообразно разрабатывать, постоянно "проверяя" будущую структуру на контролируемость, а следовательно, и на управляемость. Это непросто в любых распределенных компьютерных системах, а с развитием многофилиальных структур и вовлечением провайдеров задача обеспечения надежной банковской деятельности многократно усложняется. Задача осложняется тем, что на практике большинство кредитных организаций сталкивается с отсутствием заранее разработанного методического подхода к работе в ситуациях, связанных с изменениями (нередко достаточно серьезными) в бизнес-моделях, а именно к этому приводит внедрение новых видов обслуживания и предложение новых банковских услуг. Как будет показано, в первую очередь это касается той клиентской базы, которую составляют юридические и (или) физические лица, предпочитающие работать с кредитной организацией на расстоянии, да и вообще из любого места мира, в котором можно найти подходящее для взаимодействия с кредитной организацией средство компьютерной связи.

Характер рассматриваемых отношений меняется из-за формирования в условиях применения ДБО информационного контура банковской деятельности (ИКБД) <1>. В этих условиях, как уже было показано ранее, во-первых, возникает новый тип клиента кредитной организации, своего рода "клиента-операциониста". Во-вторых, в обеспечение осуществления собственно банковской деятельности могут активно вовлекаться провайдеры, которые никогда ранее не имели к ней никакого отношения (за исключением, пожалуй, компаний - поставщиков аппаратно-программного обеспечения, если не разделять понятия провайдеров и вендоров), а вместе с ними и ряд систем (и каналов, линий) связи. В-третьих, внутрибанковские автоматизированные системы оказались подвержены сетевым компьютерным атакам (внешним по отношению к кредитной организации), причем доступны извне.

     
   ————————————————————————————————
   

<1> Особенности данного явления рассматривались автором, например, в статьях: Оптимизация принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // "Оперативное управление и стратегический менеджмент в коммерческом банке". 2005. N 3. С. 109; Анализ факторов риска, связанных с интернет-банкингом // "Расчеты и операционная работа в коммерческом банке". 2006. N 5. С. 52; 2006. N 6. С. 43; 2006. N 7-8. С. 37.

Наиболее же важными следствиями потенциального или реального влияния перечисленных факторов становятся:

а) возникновение взаимной относительной анонимности кредитной организации и ее клиентов, работающих с ней дистанционно;

б) появление зависимости кредитной организации от сторонних организаций и различных систем, входящих в ИКБД;

в) существенное расширение требований к содержанию обеспечения надежности банковской деятельности.

Тем не менее изменения, происходящие в условиях осуществления банковской деятельности, не должны (в оптимальном варианте) негативно влиять на характеристики функционирования кредитных организаций. В первую очередь это относится к выполнению обязательств перед клиентами и соблюдению правил банковской деятельности. Однако современное многообразие, комплексность и специфика этих изменений далеко не всегда позволяют адекватным образом адаптировать содержание, организацию и обеспечение этого функционирования в самой кредитной организации. Прежде всего это обусловлено отмечавшимся в предыдущей части настоящей статьи "разрывом" между процессами принятия решений относительно внедрения технологических инноваций, их практической реализацией, управлением новыми технологиями и обеспечением эффективного контроля над их применением.

Современная практика банковского дела наглядно свидетельствует о том, что наряду с принятием решений о внедрении той или иной технологии ДБО целесообразно разрабатывать и внедрять новые принципы управления в кредитной организации, что в оптимальном варианте опережает практическую реализацию каждого нового процесса ДБО. Но для достижения такого опережения необходимо сначала достичь нового "осознания" данной проблематики.

Внутрибанковский процесс, ориентированный

на внедрение инноваций

Прежде чем перейти к основному изложению, следует отметить также, что при принятии решения о переходе к дистанционному обслуживанию клиентов руководителям и специалистам кредитной организации целесообразно проектировать и заранее закладывать в систему ДБО возможности ее масштабирования и повышения производительности, поскольку, как показывает практика, удачный с потребительской точки зрения вариант дистанционного предложения банковских услуг быстро приводит к резкому увеличению численности клиентуры, которая переходит к его использованию, и объемов запрашиваемых ею банковских операций. Одновременно возрастают финансовые потоки, управляемые дистанционно, - все больше это относится к технологии интернет-банкинга (ИБ) <1>. В то же время практика свидетельствует и о том, что немало кредитных организаций при развитии своего бизнеса в направлениях ДБО реально сталкиваются именно с проблемами производительности. В ряде случаев проблемы такого рода оказывается невозможно решить не только без непредвиденных и заметных вложений в новое аппаратно-программное обеспечение, но также и без изменений в организационной структуре кредитной организации. Следствием этого, как правило, являются своего рода "наведенные" проблемы, возникающие с интеграцией новых систем ДБО с уже действующими операционными внутрибанковскими автоматизированными системами и системами информационного обеспечения кредитной организации.

     
   ————————————————————————————————
   

<1> Информация об этом с середины 2006 г. отнесена к составу сведений, представляемых кредитными организациями в Банк России в составе отчетной формы 0409251.

Поэтому тем кредитным организациям, которые "смело смотрят в будущее" и намерены активно поддерживать имидж "банка XXI века", логично разработать и внедрить специальный новый внутрибанковский процесс, ориентированный на внедрение инноваций. Об этом, насколько известно автору, "нигде и никогда" не пишут, а на самом деле ситуация далеко не так проста, как может показаться. Вероятно, особенно важно задуматься о желательности такого процесса, если вспомнить о связанных с внедрением новых технологий компонентах стратегического, операционного и репутационного рисков <2>. Основным содержанием данного процесса является упоминавшийся в предыдущей части статьи "проактивный" анализ, ориентированный в основном на:

1) изучение содержания и особенностей новой технологии банковского обслуживания, включая анализ юридических аспектов;

2) разработку сценария внедрения этой технологии и необходимых организационных мероприятий (описание "переходного периода");

3) оценку потенциальной клиентской базы данной технологии, возможных тарифов (доходности), рентабельности и договоров с клиентами;

4) оценку требований к аппаратно-программному, информационному и административному обеспечению новой технологии;

5) оценку требований к квалификации специалистов, связанных с обеспечением применения этой технологии;

6) оценку изменений в политике информационной безопасности, реализующих ее процедурах и соответствующем подразделении;

7) оценку изменений в организации и содержании внутреннего контроля, а также в системе этого контроля в целом;

8) оценку возможных изменений в мероприятиях, относящихся к финансовому мониторингу;

9) обеспечение согласованности взаимосвязанных внутрибанковских процессов на уровне процедур, включая новые;

10) оценку изменений, которые потребуется внести в информационные системы управления (ИСУ) или системы поддержки принятия решений (СППР).

     
   ————————————————————————————————
   

<2> См., напр.: Принципы банковского надзора в области интернет-банкинга // "Оперативное управление и стратегический менеджмент в коммерческом банке". 2003. N 3. С. 41; N 4. С. 47; Принципы риск-ориентированного банковского контроля в области интернет-банкинга // Там же. 2003. N 5. С. 36; N 6. С. 35.

Это не все компоненты нового внутрибанковского процесса, но только основные, причем в зависимости от специфики деятельности конкретной кредитной организации они тоже могут варьироваться по содержанию отдельных процедур. При этом желательно учитывать, что в сфере современной банковской деятельности наибольшее значение имеет именно информационное обеспечение, то есть необходимо быть уверенным в гарантиях полноты, целостности и своевременности представления данных, необходимых для реализации эффективного управления и контроля, независимо от специфики той или иной технологии ДБО. Излишне говорить, что с переходом значительного количества процедур, составляющих банковскую деятельность, в виртуальное киберпространство получить такие гарантии может оказаться весьма затруднительно. Поэтому бывают ситуации, когда не следует торопиться с внедрением многообещающих, но "малопонятных" с позиций традиционных процессов управления и контроля технологий ДБО, а сначала подготовить как следует надежную почву для их внедрения и результативного (в том числе безопасного!) использования. Собственно, это и имеется обычно в виду под "пруденциальной" организацией условий применения таких технологий.

Все перечисленные выше составные элементы нового внутрибанковского бизнес-процесса представляют собой, в свою очередь, достаточно специфические процедуры, которые сами требуют специальных решений и мероприятий, организация которых и контроль за которыми являются прерогативой органов управления кредитной организации. Самым важным фактором адекватной реализации этих процедур является осознание их необходимости. В зарубежной практике банковского регулирования и надзора считается, что в составе совета директоров кредитной организации должны находиться руководители, имеющие подготовку в области электронных банковских технологий, обеспечения информационной безопасности и других связанных с ними дисциплин <1>. При этом "во главу угла" ставится обеспечение адекватности системы управления и контроля в кредитной организации сложности и масштабам деятельности кредитной организации с учетом используемых ею технологий банковского обслуживания, в первую очередь технологий ДБО. Понятно также, что если иметь в виду российские условия, то речь будет идти об "оптимизированной" ситуации. На практике автору приходилось сталкиваться с разнообразными позициями этих самых органов к рассматриваемой проблематике. Например, можно было услышать и заявления типа "А сейчас это модная технология, и поэтому мы ее внедрили, не будет интереса у клиентов - уберем"...

     
   ————————————————————————————————
   

<1> См.: Risk Management Principles for Electronic Banking. - BCBS, Basel, May 2003.

К счастью, столь недальновидная позиция является редкостью, хотя справедливости ради надо отметить, что о технико-экономическом обосновании (ТЭО) новых проектов в кредитных организациях задумываются редко. Впрочем, в практике такие случаи, конечно, встречаются. Кстати, и ТЭО также входит в состав процедур, составляющих процесс внедрения новой банковской технологии, как и изучение опыта конкурентов, уже применяющих таковую. В оптимальном варианте, конечно.

Ресурсы, необходимые для реализации бизнес-процесса

Рассматриваемый бизнес-процесс должен, естественно, опираться на реальные внутрибанковские ресурсы (случаи аутсорсинга автору в данном случае неизвестны). Если говорить об интерпретации в смысле сетевого планирования (о чем упоминалось в первой части статьи), то органам управления кредитной организации логично организовать его в виде некоего подобия научно-исследовательской работы. То есть необходимы прежде всего специалисты в области информационных технологий, причем из состава как минимум четырех служб: информатизации (автоматизации), операционной, информационной безопасности, внутреннего контроля и юридической. Каждый из них должен получить свое задание:

первые - решение вопросов ТЭО, первого, второго, четвертого и пятого направлений;

вторые - решение вопросов по второму, третьему, девятому и десятому направлениям;

третьи - решение вопросов по шестому, девятому и десятому направлениям;

четвертые - решение вопросов по седьмому - десятому направлениям;

пятые - решение вопросов по первому, третьему, девятому и десятому направлениям.

Это далеко не все специалисты и не все функции, которые целесообразно было бы включать в обеспечение нового, ориентированного на будущее внутрибанковского бизнес-процесса.

Далее. Требуются конкретные финансовые средства на внедрение и развитие новой технологии ДБО, причем здесь уместно задуматься и о некоем резервировании, поскольку все возможные затраты изначально предусмотреть невозможно. Считается, что изначально внедрение таких систем ДБО, как, например, ИБ, может потребовать достаточно существенных затрат, но они быстро себя окупают, и кредитные организации начинают получать ощутимую прибыль. Это соответствует действительности (как по данным зарубежных исследований, так и по информации, полученной автором в ряде кредитных организаций). Однако на практике такое внедрение нередко означает реализацию различных мелких рисковых компонентов, которые, впрочем, могут оказаться вполне значимыми в смысле стратегического, правового и репутационного рисков, а иногда и операционного. Ясно, что процессы управления в кредитных организациях, так или иначе связанные с внедрением, сопровождением, модернизацией банковских информационных технологий, логично строить с учетом соответствующих прямых и обратных связей в соответствующей ИСУ или СППР. Типичными примерами являются:

- проблемы при "стыковке" действующих и новых автоматизированных систем (они проявляются, как правило, в так называемых информационных сечениях, и данные сечения должны являться предметом самого пристального внимания специалистов кредитной организации по информационным технологиям, особенно в случае заказных разработок или приобретения системы, например ИБ "под ключ", что вполне типично <1>);

- несоответствие функциональных возможностей заказанной или приобретенной "под ключ" системы ДБО реальным деловым потребностям кредитной организации (следствием чего практически всегда является "заплаточный" способ подгонки уже проданной (приобретенной) системы за счет переписывания и замены программных модулей, дописывания (в смысле программирования) каких-то дополнительных функций, ошибки в преобразовании (конвертировании) форматов передаваемых файлов и т.п., причем все это чаще всего делается без должного <2> документарного оформления, тестирования и (или) приемо-сдаточных испытаний и т.д.);

- неправильный расчет производительности систем ДБО, что часто связано с недостатками как в маркетинговой политике (реализация стратегического риска), так и в ТЭО (операционный и репутационный риски);

- наличие недостатков в обеспечении информационной безопасности и защите банковской и клиентской информации (кстати, это нередко является следствием пренебрежения органами управления кредитной организации реальными потребностями организации в средствах защиты внутрибанковских локальных вычислительных сетей и особенно зональных сетей такого рода, а также недостаточного внимания к распределенным компьютерным системам провайдеров, через которые могут осуществляться разного рода сетевые атаки);

- несовершенство системы внутреннего контроля и функционирования службы внутреннего контроля, выражающееся прежде всего в том, что модернизация ее деятельности отстает от развития и совершенствования деятельности банковской, в особенности от изменений в ее аппаратно-программном и информационном обеспечении (в настоящее время известно уже много случаев использования систем ДБО для финансовых преступлений и разного рода противоправной деятельности).

     
   ————————————————————————————————
   

<1> По данным отчетности кредитных организаций, представляемой в Банк России в соответствии с формой 0409070, российскими кредитными организациями используется около 50 систем ИБ, разработанных различными компаниями, и насчитывается еще примерно столько же оригинальных разработок, выполненных самими кредитными организациями.

<2> Имеется в виду соответствие когда-то обязательным для исполнения ГОСТам на создание автоматизированных систем, начиная с ГОСТ 34.602-89 и иже с ним.

В связи с последним пунктом нельзя не сделать акцент на тех обязательствах, которые может наложить ДБО в своих наиболее "отвлеченных" формах на кредитные организации с точки зрения органов банковского надзора и правоохранительных органов. Речь идет о принципе "знай своего клиента" (ЗСК). Данный принцип хорошо известен банковскому сообществу по публикациям Базельского комитета по банковскому надзору (БКБН), однако в последние годы данный Комитет стал уделять ему повышенное внимание, что связано с усиливающейся тенденцией к использованию систем ДБО, в первую очередь ИБ, для противоправной деятельности. В состав таковой могут входить самые разные мошенничества, хищения финансовых средств или их перевод за рубеж, "отмывание денег" и финансирование терроризма и т.п.

В своих недавних публикациях БКБН стал делать особый акцент на "групповом подходе" при обеспечении соблюдения принципа ЗСК (или, иначе, "консолидированном подходе" к управлению рисками, связанными с возможной (и реальной) проблематичностью соблюдения этого принципа) <1>. Необходимо сразу пояснить, что речь в этом случае идет о кредитных организациях, имеющих дочерние банки, филиалы, представительства и т.п.

     
   ————————————————————————————————
   

<1> Consolidated KYC Risk Management, Basel Committee on Banking Supervision. - Basel, BIS, Oct. 2004.

Детальное рассмотрение данного документа не может быть проведено в рамках настоящей статьи, поэтому необходимо отметить хотя бы те основные положения, которые непосредственно относятся к факторам риска, возникающим для кредитной организации при ДБО, и, соответственно, подлежат учету при осуществлении риск-фокусированного надзора.

Ключевым аспектом реализации в кредитной организации "надежной" политики и процедур, связанных с принципом ЗСК, являются внедрение и поддержание на адекватном масштабам ее деятельности уровне эффективного группового подхода. Для этого, как нетрудно догадаться, строится соответствующий бизнес-процесс. В его основу БКБН закладывает компоненты правового и репутационного рисков (иногда, кстати, называемого в материалах этого Комитета "имиджевым риском").

Считается, что политика и процедуры на уровне филиалов и дочерних организаций кредитной организации должны быть согласованы с групповыми стандартами ЗСК и обеспечивать их поддержку. Если говорить о специфике российской ситуации, то она двояка и различна для отечественных банков, которые не всегда могут адекватно контролировать деятельность своих филиалов, и для зарубежных кредитных организаций, руководство которых может не иметь полного представления о том, в каких условиях работает их дочерний банк.

Самое главное заключается в том, что необходимо разработать, внедрить и поддерживать (на основе регулярного внутреннего контроля) единые подходы для всех кредитных организаций к идентификации, контролю и парированию репутационного, правового, операционного рисков и риска концентрации <1>. Постулируется, что это способствует координации действий в банковском секторе и делает контроль над этими рисками и управление ими в кредитных организациях более эффективными. В свою очередь, кредитным организациям рекомендуется перенести данный подход на уровень своей системы (или, иначе, подсистемы банковского сектора).

     
   ————————————————————————————————
   

<1> Под этим риском имеется в виду некий системный риск концентрации источников риска, которую головной офис "не замечает", но этот риск существует в системе филиалов кредитной организации.

Постулируется также, что подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков, что при ДБО оказывается весьма актуальным <2>. Между головным офисом кредитной организации и ее филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками. При этом само взаимодействие необходимо организовать как единый и унифицированный между офисами процесс, который одновременно позволял бы обеспечить унифицированное же информирование из филиалов головного офиса о возможных проблемных клиентах и ситуациях.

     
   ————————————————————————————————
   

<2> В российском банковском секторе отмечаются случаи предоставления филиалами кредитных организаций услуг ИБ, тогда как головные офисы такого обслуживания не осуществляют.

Одновременно при консолидированном подходе требуется осуществление контроля в банковской подсистеме (группе) над проблемными операциями и ситуациями. Контролирующий процесс вообще должен включать, по мнению БКБН, не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов. Вероятно, излишне говорить, насколько непросто это сделать в крупном многофилиальном банке.

Специальное внимание в рассматриваемом документе уделяется роли контроля (как внутреннего, так и внешнего), который фигурирует под названием аудита (о чем идет речь на самом деле, ясно из текста документа). Роль аудита определяется как особенно важная в оценивании стандартов кредитной организации в части ЗСК на консолидированной основе. Это относится не только к кредитной организации, но и к службе банковского надзора, сотрудники которой должны быть уверены, что все необходимые процедуры в этом отношении соблюдены кредитной организацией, а сами они имеют полный доступ к относящимся к делу отчетам и рабочим документам аудита (по всей группе).

Еще одним важным моментом во внедрении, применении и развитии процессного подхода является полный и адекватный (потребностям кредитной организации и ее обязательствам перед клиентами) учет состава ИКБД. К сожалению, практика показывает, что кредитные организации зачастую не задумываются не только о возможном влиянии его компонентов на их деятельность, но и об указанном контуре как таковом. Ситуация реально выглядит так, как будто этого контура не существует за пределами кредитной организации. На самом же деле виртуальность данного контура может оказать вполне реальное влияние на саму кредитную организацию, особенно в тех случаях, когда требуется гарантировать невозможность отказа от операции <1> (ситуация, кстати, типично проблематичная для многих вариантов электронного банкинга, в частности ИБ) или существует опасность вовлечения кредитной организации в противоправную деятельность. В последнем случае кредитной организации целесообразно задуматься о том, каким образом ее специалисты могли бы восстановить путь прохождения ордеров подозрительных клиентов, а ИКБД в случае интернет-банкинга как раз отличается тем, что сделать это без специального технологического и технического оснащения (заранее, конечно, заложенного в системы ИБ) практически невозможно. На этом примере видно, насколько многообразна затронутая тематика процессного подхода к организации и реализации ДБО и насколько сложно полностью осветить ее с позиций риск-фокусированного надзора в рамках одной статьи.

     
   ————————————————————————————————
   

<1> В зарубежной терминологии - non-repudiation, т.е. исключение ситуации, когда клиент заявляет банку, что не давал ордера (например, на перевод средств со счета), а банк предъявляет ему как бы его ордер, и наоборот, когда клиент утверждает, что банк не выполнил его ордера, а банк уверяет его в том, что такого ордера не поступало и т.п. (Продолжение см. "Управление в кредитной организации", 2007, N 3) Л.В.Лямин Начальник отдела интернет-банкинга Управления методологии рисков внутрибанковских систем Департамента банковского регулирования и надзора Банка России Подписано в печать 21.02.2007 ————