"Управление в кредитной организации", 2007, N 3

ПРОЦЕССНЫЙ ПОДХОД К ПРИМЕНЕНИЮ ТЕХНОЛОГИЙ ЭЛЕКТРОННОГО

БАНКИНГА С ПОЗИЦИЙ РИСК-ФОКУСИРОВАННОГО НАДЗОРА <1>

(Продолжение. Начало см. "Управление в кредитной организации", 2006, N 6, 2007, N N 1, 2)

     
   ————————————————————————————————
   

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

Создание в кредитных организациях новых внутрибанковских процессов и адаптация основных процессов такого рода к применению новых технологий электронного банкинга становится одной из новых парадигм современной банковской деятельности. Однако, как бы ни были важны информатизация банковской деятельности, обеспечение ее информационной безопасности, внутренний контроль и противодействие возможному противоправному использованию банковских информационных технологий, развитие бизнес-моделей кредитных организаций необходимо сопровождать их оценкой.

Обеспечение надежности функционирования

Не менее важным аспектом процессного подхода или сетевого планирования является обеспечение надежности функционирования кредитной организации в части отношений с провайдерами. К сожалению, до самого последнего времени нельзя сказать, что кредитные организации полностью осознают сами факты зависимости их деловой активности от провайдеров и, в свою очередь, зависимости интересов клиентов от этой зависимости. Проблема в основном заключается в том, что специфика аутсорсинга как такового, в чем бы он ни заключался (включая процессинг, клиринг, хранение резервных массивов банковских данных и т.д.), не осознается полностью ни самими кредитными организациями, ни их клиентами <1>. Вследствие этого на практике кредитная организация практически не отвечает перед клиентом за проблемы, которые могут при ДБО быть вызванными тем или иным ее провайдером. И клиенты не задумываются о том, с какими претензиями они придут в кредитную организацию в том случае, если из-за неполадок в компьютерных системах провайдеров, каналах (линиях) связи и т.п. пропадут или будут искажены их данные (содержание ордеров или результаты операций). В то же время сам факт появления в ИКБД систем провайдеров предполагает наличие особого внимания к содержанию договоров между кредитной организацией и провайдером и кредитной организацией и клиентом ДБО с таким распределением ответственности, которое как минимум гарантировало бы минимальный ущерб интересам клиента в случае, например, возникновения форс-мажорных обстоятельств. А наличие такого внимания предполагает и организацию соответствующего бизнес-процесса в кредитной организации (в котором участвует и клиентура со свойственными ей компонентами стратегического, правового и репутационного рисков).

     
   ————————————————————————————————
   

<1> Тому есть немало подтверждений, которые в основном связаны с содержанием договоров на ДБО и тех или иных приложений к ним. Специалисты Банка России принимали в 2006 г. участие в разработке проекта Стандарта качества банковской деятельности по применению кредитными организациями аутсорсинга. В настоящее время указанный проект рассматривается Координационным комитетом Ассоциации российских банков по разработке стандартов качества банковской деятельности.

В последнее время внимание зарубежных органов банковского регулирования и надзора привлекла проблема так называемого офшоринга (офшоринг - это трансграничный аутсорсинг процессинга). То есть речь идет о ситуации, когда провайдер, осуществляющий, допустим, обработку и хранение банковских данных для кредитной организации (т.е. реализующий соответствующие функции, переданные на аутсорсинг), не является резидентом <2>. БКБН в этой связи считает, что "органы банковского надзора страны резидента должны быть уверены в том, что данный банк в самом деле имеет возможности доступа к критично важным для него данным или информации и контролирует их, что необходимо для адекватного управления деятельностью в области электронного банкинга".

     
   ————————————————————————————————
   

<2> Management and Supervision of Cross-Border Electronic Banking Activities. - BCBS, Basel, July 2003.

Что касается органов банковского надзора, то БКБН постулирует необходимость наличия у них гарантий того, что они имеют достаточный для целей надзора "доступ к информации и данным" такого рода (находящимся в распоряжении трансграничного аутсорсера), и "это согласуется с установленными правилами надзора и его ответственностью за надзор над головным офисом банка". В такой ситуации желательна организация как минимум двух дополнительных процессов:

- одного у кредитной организации, пользующейся услугами зарубежного провайдера. Этот процесс связан с обеспечением для нее возможностей сохранения контроля над своими информационными ресурсами и их защищенности;

- второго у органа банковского надзора в плане получения доступа к исходным банковским и клиентским данным кредитной организации и их достоверности.

На самом деле в ситуации трансграничного обслуживания процессов значительно больше: часть из них связана с обеспечением "гарантированного" доверия самой кредитной организации к провайдеру, надежности и защищенности его автоматизированных систем, обеспечению им информационной безопасности, в том числе защищенности от возможных внешних атак на кредитную организацию через распределенную компьютерную систему провайдера и ИКБД, в который он входит. Другая часть связана с доверием со стороны клиента к такой кредитной организации, которая использует аутсорсинг процессинга, да еще и трансграничный. Естественно, обеспечение конфиденциальности сведений о банковских данных, принадлежащих на самом деле клиенту, и операциях с этими данными должна гарантироваться обслуживающей его кредитной организацией, которая, в свою очередь, сама должна иметь необходимые гарантии. А для этого службы внутреннего контроля и информационной безопасности кредитной организации должны иметь возможности контролировать ситуацию у провайдера, обеспечивая тем самым защиту интересов кредитной организации и, опосредованно, ее клиентов.

Приведенный перечень процессов может быть, безусловно, продолжен, однако ограниченный объем публикации позволяет выделить лишь основные аспекты рассматриваемой проблематики организации внутрибанковских процессов.

Рассматриваемый автором подход должен приводить к созданию в кредитной организации такой совокупности внутрибанковских процессов и такого их административного и организационно-технического обеспечения, которые будут работоспособны вне зависимости от тех конкретных технологий электронного банкинга, которые уже использует или предполагает применять кредитная организация. Этот своего рода "шаблон деятельности" в форме одного из глобальных (для данной кредитной организации) процессов превращается тем самым в своеобразный корпоративный стандарт, гарантирующий эффективность принятия решений и получения результатов независимо от особенностей отдельных технологий такого рода. Для персонала же кредитной организации это будет означать, что каждый сотрудник на своем однозначно определенном месте в точно определенные отрезки времени будет выполнять заданные необходимые функции полно, точно и ответственно. В результате в кредитной организации складывается полнофункциональная и "устойчивая к инновациям" система управления изменениями в бизнес-процессах, отвечающая потребностям данной кредитной организации и обеспечивающая тем самым ее конкурентные преимущества.

Состав мероприятий на уровне внутрибанковских процессов

Для того чтобы ее достичь, логично было бы обеспечить разработку и своевременную актуализацию внутрибанковской документации, являющейся "руководством к действию" для ее персонала на всех уровнях менеджмента, а также для клиентов кредитной организации. В рекомендациях, предлагаемых зарубежными органами банковского надзора, основное внимание изначально уделяется документам, которые необходимо разработать для обеспечения банковской деятельности. Считается, что такими документами должны охватываться: структура банка, все рабочие процессы и процедуры, все взаимоотношения между менеджерами разных уровней и исполнителями по всем направлениям деятельности банка. При этом содержание документов должно быть таким, чтобы устанавливались порядки, при реализации которых была бы гарантирована безопасность и надежность банковской деятельности данной кредитной организации. После того как документарное обеспечение в кредитной организации сформировано и содержит все необходимые с точки зрения надежности банковской деятельности положения, они должны быть реализованы с помощью административно-организационных мероприятий.

Возможный вариант рассмотрения состава документарного обеспечения адаптации внутрибанковских процессов к внедрению новой технологии ДБО приведен на рисунке 1.

     
   —————————————————————————————————————————————————————————————————¬
   |  Состав мероприятий на уровне внутрибанковских процессов и их  |
   | результаты при адаптации документарного обеспечения банковской |
   |    деятельности в обеспечение соответствия реальной ситуации   |
   |  в кредитной организации условиям пруденциальной организации.  |
   |     Все мероприятия (в оптимальном варианте) инициируются,     |
   |  сопровождаются и контролируются высшим менеджментом кредитной |
   |                           организации                          |
   L——T——————————————————————————————————————————————————————————T———
   

¦ -----------------------------------¬ ¦

+-+ Обоснование, принятие решений, ¦ ¦

¦ ¦ стратегическое планирование ¦ ¦

¦ L----------------------------------- ¦

¦ ----------------------------------¬ ¦

¦ ¦ Распорядительные документы, +-+

¦ ¦ доведение до персонала ¦ ¦

¦ L---------------------------------- ¦

¦ -----------------------------------¬ ¦

+-+ Организация деятельности, ¦ ¦

¦ ¦ процессы, процедуры, операции ¦ ¦

¦ L----------------------------------- ¦

¦ ----------------------------------¬ ¦

¦ ¦ Структура организации, положения+-+

¦ ¦ о подразделениях ¦ ¦

¦ L---------------------------------- ¦

¦ -----------------------------------¬ ¦

+-+Разработка, внедрение и применение¦ ¦

¦ ¦ банковских технологий ¦ ¦

¦ L----------------------------------- ¦

¦ ----------------------------------¬ ¦

¦ ¦ Технологическая и техническая +-+

¦ ¦ документация ¦ ¦

¦ L---------------------------------- ¦

¦ -----------------------------------¬ ¦

+-+ Распределение обязанностей, ¦ ¦

¦ ¦ ответственности, подотчетности ¦ ¦

¦ L----------------------------------- ¦

¦ ----------------------------------¬ ¦

¦ ¦Рабочие порядки, квалификационные+-+

¦ ¦ требования ¦ ¦

¦ L---------------------------------- ¦

¦ -----------------------------------¬ ¦

L-+ Подготовка и переподготовка, ¦ ¦

¦ повышение квалификации ¦ ¦

L----------------------------------- ¦

     
                             ——————————————————————————————————¬ |
                             |     Должностные инструкции,     +——
   

¦ рабочая отчетность ¦ L-------------------------------- ————

Рис. 1

Автор не претендует на "непреодолимую" полноту и детальность данного описания, имея в виду только его общий характер. Понятно, что детальные рекомендации в рассматриваемой ситуации невозможны, учитывая многочисленные различия, которые свойственны отечественным кредитным организациям, начиная с размеров их уставных капиталов и областей финансового посредничества и заканчивая конкретным содержанием банковской деятельности, структурой финансовых ресурсов, клиентской базы и т.п. Важно подчеркнуть, что изучение необходимых процессов и сопоставление их с реально существующими способствуют объединению работы функциональных подразделений кредитной организации. При этом одновременно исключаются нередко наблюдаемые избыточность и "дыры" в рабочих процедурах кредитной организации, что ориентирует их специалистов на совместное обеспечение достижения бизнес-целей кредитной организации на единой методологической платформе. Следствием может стать обеспечение транспарентности внутрибанковской деятельности для руководства кредитной организации, а следовательно, и упоминавшийся выше угрожающий неэффективностью и необоснованными расходами (финансовыми потерями) "разрыв" будет с большой вероятностью закрыт.

Возвращаясь к тематике ИКБД, необходимо отметить, что его состав в каждом отдельном случае определяет конкретная технология ДБО, которая используется для обслуживания того или иного контингента клиентов кредитной организации. В любом случае речь целесообразно вести о той совокупности зон концентрации факторов риска, с которой кредитной организации придется иметь дело после внедрения того или иного вида электронного банкинга, ввода в эксплуатацию соответствующих внутрибанковских автоматизированных систем и "получения" для изучения ИКБД определенного вида. Для случая ИБ соответствующая упрощенная схема приведена на рисунке 2, где звездочками обозначены зоны концентрации источников (факторов) риска, на которые логично было бы ориентировать внутрибанковские бизнес-процессы <1>. Эти процессы показаны на рисунке тонкими стрелками (причем и компоненты ИКБД, и процессы показаны не все).

     
   ————————————————————————————————
   

<1> Аббревиатура IDS обозначает так называемую систему обнаружения вторжений или проникновений (Intrusion Detection System). Приведенная схема не претендует на полноту, поскольку на ней не выделены такие участки, как "демилитаризованные зоны", и не показаны некоторые реальные компоненты, как, например, почтовый сервер и др.

Основные зоны концентрации источников и факторов рисков

в информационном контуре интернет-банкинга,

подлежащие учету во внутрибанковских процессах

     
   —— T——————————————————T—.—.—.—.—.—.—.¬———————————————————¬   —————————¬  
    ——+ Провайдеры услуг |   —————————¬/++Интернет—провайдер|<—¬| Клиент |
   |  L———————T——————T————   |Internet|\++      клиента     |  |L———T—T———
   

¦ /¦\ . L---TT---- .L------------------- L-----/¦\ ¦ ¦ ¦ ---------++-----+---------------------------- ———— ¦ ¦ .-.+.-.-.-.-++.-.-.+¬ ¦ ¦ ¦ ¦L-----++-----------¬ ¦ ¦ ¦ L------++----------¬¦ ¦ ¦ ¦ .. \/ ¦ --------+---------+--T-----¬ ¦¦ -------------------¬ -------¬ ¦ -+ Процессы управления¦ ¦ .. ¦Интернет-провайдер+--\¦ Банк ¦ ¦¦¦ и контроля +-----+------++->¦ банка +--/L-TT-- ———— ¦ ¦L-------T---------T--+----¬¦ .. L------------------- ¦¦ ¦¦ ¦ ¦ ¦ L+------T+--------------------¬ ¦¦ ¦ ¦ \¦/ L-¬¦ ¦ ..-.-.-.¬ \¦/ \/ ¦¦ -------+----------¬¦¦ L------+-----¬ L.-.-.-.>--¬--+-------------¬ L++>¦ Внутренняя сеть ¦¦L------------+-----+--------->¦F¦¦ Маршрутизатор ¦ ¦ L------------------¦ L.-¬ ¦ ¦i¦L------TT------ ———— ¦¦ /\ --¬ \¦/ \./\¦/ ¦r¦ ¦¦ ¦ ¦L------+F¦------+---------¬/--T--+--+------¬/--+e¦/-------¦ ¦¦ L-------+i¦¦ Прокси-сервер ¦\--+ Web-сервер ¦\--+w¦\------ ———— ¦ --------¬ ¦r¦L----T----------- L------------- ¦a¦ ¦L>¦Сетевая¦ ¦e¦ /¦\ ¦l¦ Брандмауэр ¦ IDS ¦ ¦w¦ ¦l¦ ¦ L-------- ¦a¦ ¦ L ———— ¦l¦ ¦ ¦l¦ ¦ L ———— L - - - - - - - - - ————

Рис. 2

В оптимальном варианте подобные схемы могла бы создавать для себя каждая кредитная организация (это тоже бизнес-процесс), а в дальнейшем модернизировать при внесении изменений в используемые технологии или при внедрении новых. Эти схемы в том же варианте охотно использовали бы службы информатизации (автоматизации), внутреннего контроля, обеспечения информационной безопасности, финансового мониторинга.

Анализ банковской деятельности на основе процессного подхода позволяет определить, для каких конкретно направлений этой деятельности целесообразен такой подход, а для каких можно ограничиться реализацией отдельных процедур с учетом возможного последующего их объединения в некий внутрибанковский процесс. Очевидно, что в первую очередь это зависит от видов, масштабов, сложности банковской деятельности, потребностей клиентуры, степени развития банковских технологий и т.п. Другим определяющим фактором в современном мире стали банковские информационные технологии, без которых немыслимо выживание кредитной организации в конкурентной борьбе (во всяком случае, большинства таких "неспецифических" организаций типа так называемых карманных банков и т.п.). При этом степень влияния технологий такого рода становится столь значительной, что весьма желательно оценивать еще до их внедрения, насколько готовы персонал и органы управления кредитной организации к применению конкретных технологических и технических решений.

Процессы высшего уровня

В основном эти два фактора и определяют далее содержание внутрибанковских процессов, их распространение и развитие, а также требуемую "степень совершенства" того или иного процесса. При наличии у кредитной организации филиальной структуры дальнейшее рассмотрение логично осуществлять и в отношении филиалов, соблюдая рекомендации в части описанного выше "группового подхода". От этого зависят состав и содержание внутрибанковских информационных потоков, ставших в современных условиях "кровью" кредитной организации.

По результатам проведенного анализа разрабатываются руководящие документы, положения и порядки, предназначенные для реализации процессного подхода, в которых описываются также организационные и информационные взаимосвязи между процессами. Тем самым обеспечиваются возможности для реализации принципов эффективного корпоративного управления, которое вместе с управленческим наблюдением (контролем) относится к процессам высшего уровня. Собственно, это те самые базовые процессы, которые планируются органами управления кредитных организаций до начала любой бизнес-активности.

С позиций риск-фокусированного надзора ошибки и неточности в содержании процессов высшего уровня могут стать основными причинами возникновения тех банковских рисков, которым подвергаются кредитные организации даже независимо от степени квалификации и усилий их исполнительского персонала. При этом особенностью организации этих процессов на текущем этапе становится необходимость учета всех факторов, действующих в информационном контуре банковской деятельности (ИКБД), в общем случае даже независимо от того, использует ли кредитная организация дистанционное банковское обслуживание (ДБО), а просто в силу множества и разнообразия системных и внутрисистемных факторов, действующих в банковском секторе экономики.

При проведении анализа желательно учитывать все те внутрисистемные информационно-финансовые связи, от которых зависит эффективность экономического функционирования клиентуры кредитной организации, включая гарантии целостности и защищенности клиентской информации. Во многих случаях такие зависимости образуются в рабочем порядке, как то обычно бывает при внедрении той или иной инновационной технологии, и, скорее всего, априори неизвестны руководству кредитной организации (во всяком случае, полностью). Поэтому важен комплексный анализ ИКБД в интересах как определения новых внутрибанковских процессов, так и адаптации уже существующих.

Динамично развивающейся кредитной организации целесообразно опираться на "шаблоны" деятельности, отражающие принятую ею политику в той или иной области предоставления банковских услуг. Каждый из шаблонов возникает из типового процесса, называемого "жизненным циклом" управления теми или иными бизнес-процессами. Здесь имеется в виду последовательность этапов развития процесса от принятия стратегического решения относительно его инициации через реализацию и контроль к его совершенствованию (или "сворачиванию" при замещении более совершенным) и т.д. Один из таких процессов уже был нами подробно рассмотрен ранее на примере организации выхода кредитной организации в сеть (организации интернет-представительств) и последовательной реализации систем интернет-банкинга разных уровней.

В свою очередь, каждый из жизненных циклов требует детального рассмотрения руководством кредитной организации на этапе разработки комплекса административно-организационных мероприятий, следующем за этапом обоснования и принятия решения относительно внедрения конкретных технологий ДБО (электронного банкинга) и предваряющем этап организации внедрения таких технологий. Обычно для процесса используется четырехэтапная схема "создание - внедрение - контроль - совершенствование".

На первом этапе определяются стратегические цели, которые предполагается достичь с помощью данного процесса, описываются его модель и структура, состав его характеристик и показателей, а также требуемое обеспечение.

На втором этапе создаются условия для реализации процесса, информационно-технологическая инфраструктура, внутрибанковские автоматизированные системы (возможно, интегрируемые с уже действующими), определяются провайдеры необходимых услуг и поставщики того или иного технического оснащения, распределяются ответственность и обязанности, проводится обучение персонала.

На третьем этапе организуются сбор оперативной контрольной информации о выполнении процесса, статистики по показателям и характеристикам процесса и комплексный их анализ.

На четвертом этапе проводится сопоставление существующего процесса с позиции "как есть" с его первоначальной моделью - "как должно быть", оцениваются результаты анализа характеристик и показателей, после чего может быть принято решение о целесообразности модификации или модернизации процесса либо его замене.

Одним из важнейших аспектов процесса автоматизации банковской деятельности как таковой, в особенности с использованием распределенных компьютерных систем, является совершенствование "понимания" того, где, собственно, "находится банк", что именно составляет его сущность как агента дистанционного финансового взаимодействия. Ответ на этот вопрос может оказаться не всегда однозначен в условиях ведения современного банковского бизнеса, особенно при интенсивном использовании кредитной организацией аутсорсинга. Во всяком случае, если говорить о выполнении банковских операций (и хранении массивов банковских и клиентских данных), то с полным правом банком можно считать банковскую автоматизированную систему (БАС) кредитной организации. Все остальное, фактически входящее в структуру кредитной организации, переходит в разряд компонентов, используемых для создания необходимых условий функционирования такого "банка" и обеспечения ввода-вывода банковской и клиентской информации в БАС.

Одновременно на передний план выходят алгоритмы осуществления банковской деятельности, составляющие основное содержание отдельных бизнес-процессов. Если говорить о выполнении банковских операций, то соответствующие бизнес-процессы реализуются преимущественно аппаратно-программно-информационным обеспечением БАС и связанных с нею систем (система ИБ и другие системы ДБО). Персонал же кредитной организации, в свою очередь, становится практически полностью обслуживающим эти системы. Поэтому в создании бизнес-процессов основными в плане обеспечения надежности функционирования кредитной организации становятся именно программно-алгоритмическое обеспечение и обслуживание внутрибанковских автоматизированных систем. Данный постулат не является "открытием", но он приведен здесь потому, что от этих факторов прямо зависят целостность клиентских и банковских данных и доступность банковского обслуживания. Под целостностью в данном случае понимаются соответствие информации установленным требованиям и невозможность ее несанкционированного изменения (искажения), а под доступностью - наличие возможности получения доступа авторизованными пользователями к требуемым им системам и приложениям (прикладным программам) кредитной организации.

Кроме того, несмотря на, возможно, уже достигнутую оптимальную организацию деятельности подразделения кредитной организации, отвечающего за ее информатизацию (автоматизацию деятельности), в текущих условиях, крайне желательно создать и отработать модель перехода на работу в новых условиях. Простейший пример - переход к ДБО как вообще новому для кредитной организации способу предоставления банковских услуг. Такой переход неизбежно требует разработки и внедрения новых процедур, которые с течением времени перерастают в специализированные процессы. Так, имидж "банка XXI века" потребовал создания веб-сайтов; не было у кредитной организации провайдеров (как и самого ИКБД, в котором она работает) - появились, а с ними - и зависимость банковского обслуживания от них. Ранее кредитная организация была защищена от действий клиента профессиональной работой своих сотрудников в операционном зале, а теперь клиенты - сами "операционисты" (к тому же во многом анонимные, так как о них банк может ничего не узнать кроме "логина" <1> и пароля!) благодаря дистанционному обслуживанию. И так далее.

     
   ————————————————————————————————
   

<1> Login - регистрационная комбинация символов для входа в информационную систему.

Вопросы доступности сервисов и целостности передаваемых, обрабатываемых и хранимых банковских данных в условиях ДБО становятся предельно актуальными и для кредитной организации, и для ее "удаленных" клиентов. Кредитная организация не всегда может быть уверена в том, что работает с легитимным клиентом (поскольку возникает весьма непростая проблема обнаружения передачи средств (прав и полномочий) доступа к банковским счетам и управления ими при совершении противоправных действий, например финансовых преступлений). То есть доступность для кого? Банк России в свое время обратил на это внимание <2>. В свою очередь, клиент не всегда может быть уверен в том, что он действительно работает со "своим банком" (это проблема обнаружения, к примеру, фишинга и предотвращения соответствующих негативных для клиентов последствий <3>). Фактически данная проблема еще ждет своего решения.

     
   ————————————————————————————————
   

<2> Положение Банка России от 19.08.2004 N 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и Письмо Банка России от 30.08.2006 N 115-Т "Об исполнении Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)".

<3> Один из вариантов фишинга рассматривался автором в статье "Анализ факторов риска, связанных с интернет-банкингом" // Расчеты и операционная работа в коммерческом банке. 2006. N 5. С. 52 - 63.

Специализированные процессы

Соответственно, кредитным организациям, применяющим ДБО, особенно через открытые системы, к которым относится Интернет, целесообразно разработать и внедрить специализированные процессы, позволяющие парировать действие возможных факторов и источников риска, обусловленных указанной анонимностью. При этом логично заранее предусматривать такие процессы и для самой кредитной организации, и для ее клиентов.

В отношении первого проблемного вопроса можно было бы использовать процедуры регулярной идентификации дистанционно работающих клиентов, пользуясь типовыми правилами обновления идентифицирующих и аутентифицирующих данных. В отношении второго вопроса на первый план выходят компьютерная грамотность и информированность клиентов. То есть логично было бы предусмотреть наличие, во-первых, процесса изучения текущей обстановки (например, получение информации о "достижениях" хакеров), во-вторых, процесса доведения необходимой информации до клиентов (например, через веб-сайты, сервис-центр, целевую рассылку сообщений электронной почты и т.п.), в-третьих, процесса предупреждения "облапошивания" своих клиентов за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления поставочной документации и пр.

Рассматриваемая проблематика, как видим, многоаспектна. Поэтому, в частности, службе безопасности (СБ), которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно регулярно проводить скрупулезный анализ не только информационных ресурсов самой кредитной организации, ядром которых являются БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на интересы кредитной организации и ее клиентов. Состав ресурсов такого рода определяется их значимостью для кредитной организации и ее клиентов, при этом целесообразно учитывать, что критичными для клиентов могут оказаться различные варианты несанкционированного доступа (НСД) к информации: от конкретных массивов данных бухгалтерского учета до сведений о самих фактах осуществления тех или иных операций. Поэтому "специальное внимание" целесообразно уделять как минимум тем информационным сечениям в БАС, между БАС и системой ДБО и во внешнем сегменте ИКБД, в которых такой НСД потенциально может иметь место. Что касается регулярности анализа, то она определяется теми интервалами времени, которые связаны с модернизациями или нововведениями в банковские технологии, на что кредитную организацию вынуждают идти конкуренция, потребности клиентуры или динамика развития банковского бизнеса.

Отмеченное "специальное внимание" может реализоваться в разных формах. Прежде всего логично разработать и реализовать процедуры контроля доступа к файлам данных, проходящим через указанные информационные сечения, например между системами ДБО и БАС. В таких сечениях, как правило, могут находиться операторы той или иной системы, системные или сетевые администраторы, специально выделенные для выполнения специфических функций операционисты. Ни один из таких сотрудников не должен располагать никакими неконтролируемыми полномочиями (а при совмещении обязанностей, что часто встречается на практике, к примеру системного администратора и администратора информационной безопасности, это получается "само собой"). Целесообразно ограничивать и контролировать возможные действия, следствием которых может стать нарушение целостности банковских данных. В материалах, разрабатываемых зарубежными органами банковского регулирования и надзора, часто подчеркивается важность обеспечения следования принципу "четырех глаз" <1>, что относится ко многим направлениям работы кредитной организации (не обязательно связанным с информационными технологиями).

     
   ————————————————————————————————
   

<1> Поддержание двойного параллельного независимого контроля над операциями.

Обычно предполагается, что инициатива в организации, реализации и контроле процедур такого рода (в свою очередь, складывающихся во внутрибанковские бизнес-процессы) идет от органов управления. В то же время само проявление такой инициативы непосредственно связано со специфическими знаниями и квалификационными требованиями. В части ДБО это относится как минимум к вопросам построения архитектуры распределенных компьютерных систем, контроля функционирования таких систем, обеспечения информационной безопасности и проведения финансового мониторинга. Тем самым предполагается наличие в составе органов управления специалистов с соответствующей квалификацией.

Необходимо отметить, что сам процессный подход часто предполагает ту или иную иерархичность, и тогда приходится говорить о суб- или мета-процессах. Единой терминологии здесь пока что не выработано, но о чем идет речь, легко понять на примерах кризиса ликвидности (возможно, системного) "по причинам, не зависящим ни от кого", хотя автору ближе понятие "неплатежеспособности". Например, одним из вариантов реализации такого кризиса является ДБО через банкоматы, а другим - последствия "удачных" мошеннических операций.

Оба варианта различаются интерпретацией "риска неплатежеспособности" <1>. В одном случае происходит априори не известный клиентам кредитной организации отказ системы ее банкоматов, однако без потери возможностей доступа к ней. Следствием этого в одном варианте может быть то, что клиент, получив сообщение на дисплее банкомата о невозможности выполнения операции, вынужден будет поехать за своими деньгами (с которыми ничего страшного не произошло) в филиал или головной офис. В другом варианте клиент, получивший такое же сообщение, появившись в представительстве самой кредитной организации, с удивлением обнаружит, что неполученная им сумма списана-таки с его счета, но... растворилась в виртуальном банковском киберпространстве <2>.

     
   ————————————————————————————————
   

<1> Термин используется автором исключительно в интересах настоящей статьи, поскольку в документах Банка России он отсутствует.

<2> В Москве немало людей попало несколько лет назад под второй вариант, причем речь шла о потерях крупных сумм; автору же настоящей статьи посчастливилось тогда ограничиться первым вариантом.

Большинство причин, по которым деньги могут оказаться похищенными, связаны с внезапным переходом или несанкционированным переводом БАС в нештатный режим работы. Такой переход может быть результатом злого умысла сотрудника кредитной организации (нарушение порядка идентификации и авторизации), уловок фишера (недостаточно полная авторизация), усилий хакера ("перемешал для смеха" базу клиентских данных или украл что-то) и т.д., а в результате кредитная организация не может расплатиться с клиентом. В любом из вариантов предполагается действующим принцип "невозможности отказа от операции" <3>, что в разных формах закладывается в договор клиента с кредитной организацией и обеспечивается необходимыми программно-техническими решениями. Западноевропейскими банками такие случаи принципиально не афишируются, считается, что проще вернуть клиенту даже десятки похищенных тысяч евро (больше, как правило, не бывает), чем подвергать себя репутационному и правовому риску. В зарубежной практике такие случаи совершенно единичны, что свидетельствует о надежности внутрибанковских процессов и процедур, которые призваны защищать банк от подобных неприятностей, равно как и об эффективности соответствующих средств.

     
   ————————————————————————————————
   

<3> В материалах зарубежных органов банковского надзора - non-repudiation.

Специального процесса для своего решения требует и проблема доказательности и юридической силы электронных документов, в особенности если у клиента в распоряжении лишь "тонкий клиент" (предельный случай - типовой интернет-браузер). В этом случае целесообразно детально проанализировать те источники рисков, которые неизбежно присутствуют в ИКБД ДБО. Существует целый ряд зон концентрации риска, подлежащих анализу: ошибочные действия клиента, проблемные ситуации у провайдеров, возможности НСД.

Общий принцип, следовать которому логично при разработке необходимых внутрибанковских процессов и процедур, заключается в том, что никакие действия клиента, как-то: ошибки при вводе данных в поля интерфейсной формы на экране дисплея, нарушение правил информационной безопасности, умышленные противоправные действия и т.д. - должны полностью и "доказательно" фиксироваться средствами БАС. То же самое в отношении другой стороны информационного взаимодействия в ИКБД: любому клиенту системы ДБО должны быть гарантированы все возможности правового подтверждения его действий. Естественно, в таких случаях в договорах с клиентом детально оговариваются все технические и юридические аспекты доказательности и распределения ответственности в случае реализации факторов риска, приводящей к невыполнению обязательств перед клиентами со стороны кредитной организации. Эта проблема затрагивает и организацию отношений с провайдерами.

По мнению автора, любая "прогрессирующая" организация независимо от того, кредитная она или нет, скорее всего, придет к выводу о целесообразности рассмотрения процессов "разных уровней", так как организация любых внутрибанковских процессов также представляет собой процесс, но более высокого уровня, своего рода "мета-процесс". А объясняется это хотя бы уже тем, что внедрение новых банковских технологий или технологий банковского обслуживания неизбежно приводит к потребности внесения изменений в уже существующие налаженные и отлаженные внутрибанковские процессы.

Система менеджмента информационной безопасности

Если говорить о мета-процессе в части информационной безопасности, то его уместно организовать в системе менеджмента информационной безопасности (СМИБ) на основе цикла Деминга <1>. Этот цикл используется для реализации модели, состоящей из четырех этапов: 1) планирование (установка СМИБ); 2) реализация (внедрение и эксплуатация СМИБ); 3) проверка (мониторинг и анализ СМИБ); 4) совершенствование (поддержка и улучшение СМИБ) и снова планирование. На каждом из этапов, по мнению автора, целесообразно выполнять типовые, описанные во внутренних документах процедуры, обеспечивающие поддержание информационной безопасности на уровне, соответствующем установленным границам для уровней принимаемых банковских рисков (в зарубежной терминологии - risk-limits). Естественно, речь идет только о тех рисках, в состав которых входят компоненты, обусловленные наличием недостатков в обеспечении информационной безопасности и защищенности банковских и клиентских данных.

     
   ————————————————————————————————
   

<1> См. разд. 5 Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2006 // Вестник Банка России. 2006. N 6 (876).

В число таких типовых внутрибанковских процедур целесообразно включать как минимум:

- разработку мер по обеспечению информационной безопасности при принятии решения о внедрении новой банковской технологии (в первую очередь технологии ДБО, входящей в подмножество интернет-банкинга или мобильного банкинга), то есть участие в проектировании и разработке внутрибанковских систем;

- контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения информационной безопасности и (или) модернизируются уже существующие, то есть участие в приемо-сдаточных испытаниях, начиная со стадии подготовки программ и методик этих испытаний внутрибанковских систем;

- регулярная проверка функциональности и надежности средств обеспечения информационной безопасности, то есть участие в эксплуатации и сопровождении внутрибанковских систем, а также компьютерных систем провайдеров;

- обеспечение адаптации мер по обеспечению информационной безопасности при модификации действующих внутрибанковских систем и (или) выводе их из эксплуатации и замене, то есть участие в их модернизации.

Эти процедуры целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой или предполагаемой для внедрения, постоянно помня о том, что каждая из них после своего внедрения создает своего рода "виртуальные ворота" для доступа к информационно-процессинговым ресурсам кредитной организации. Очевидно, что доступ к указанным ресурсам должен иметь только и исключительно легитимный пользователь, располагающий точно определенными правами и строго ограниченными полномочиями. Необходимо подчеркнуть, что работа по обеспечению соблюдения таких границ и регулярному подтверждению их реального наличия независимо от конкретных банковских технологий (в первую очередь технологий ДБО) является одним из важнейших внутрибанковских процессов в части информационной безопасности и защиты банковских и клиентских данных.

Процесс внутреннего контроля

Что касается внутреннего контроля (ВК), то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен только что рассмотренному и строится исходя из содержания жизненного цикла процесса ВК в отношении систем ДБО. В целом он заключается в выполнении совокупности типовых, описанных во внутренних документах процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным границам для уровней принимаемых банковских рисков. Естественно, речь идет только о тех рисках, в состав которых входят компоненты, обусловленные наличием недостатков в обеспечении указанных показателей, которые сами вызваны наличием разрывов в общих процессах управления и контроля в кредитной организации, использующей ДБО или разнообразные его варианты.

В число типовых внутрибанковских процедур в части ВК целесообразно включать как минимум:

- разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь технологии ДБО, входящей в подмножество интернет-банкинга или мобильного банкинга), то есть участие в проектировании и разработке внутрибанковских систем;

- контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, то есть участие в приемо-сдаточных испытаниях, начиная со стадии подготовки программ и методик этих испытаний внутрибанковских систем;

- регулярная проверка функциональности и надежности средств ВК, то есть участие в эксплуатации и сопровождении внутрибанковских систем, а также контроль над функционированием и состоянием компьютерных систем провайдеров кредитной организации и самих организаций такого рода;

- контроль за адаптацией мер по обеспечению управляемости и контролируемости ИКБД при модификации действующих внутрибанковских систем и (или) выводе их из эксплуатации и замене, то есть участие в их модернизации, а также при заключении контрактных отношений с новыми провайдерами (включая замену провайдера в интересах учета специфики той или иной организации).

Эти процедуры, как и в случае обеспечения информационной безопасности, целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга. Что же касается особенностей применения аутсорсинга в целом и организации отношений с провайдерами, то данная тема требует специального рассмотрения. Один из наиболее важных вопросов здесь - организация взаимодействия с провайдерами, с которыми ранее никакие отношения не поддерживались в силу отсутствия необходимости в услугах таких сторонних организаций. Тем не менее внедряемые бизнес-процессы, реализующие отношения в рамках соглашений на аутсорсинг, также логично рассматривать с общих позиций мета-процесса, поскольку ключевые требования к ним аналогичны - все они связаны с выполнением обязательств перед клиентами.

Наконец, в части финансового мониторинга мета-процесс уподобляется своему аналогу в области ВК в целом. Основная цель организации такого процесса высшего уровня состоит в том, чтобы воспрепятствовать вовлечению кредитной организации в противоправную деятельность, осуществляемую за счет использования технологических возможностей современного ДБО. Это касается, прежде всего, тех ситуаций, в которых могут быть поставлены под сомнение сами возможности кредитной организации в отношении контроля над операциями, осуществляемыми с помощью ее БАС или аналогичных систем, установленных в филиалах либо используемых ими. В то же время нельзя забывать, что серьезные нарушения возможны и без всяких противоправных операций, например нарушение конфиденциальности сведений о состоянии счетов и операциях клиента, то есть нарушение банковской тайны, вполне возможно в тех случаях, когда информация такого рода передается через системы провайдеров (допустим, системы мобильной связи) в незащищенном виде. Впрочем, данная проблематика ближе, пожалуй, к вопросам обеспечения информационной безопасности. Необходимо подчеркнуть, что дополнительным, но часто забываемым требованием становится обеспечение доказательного подтверждения непричастности кредитной организации (ее персонала и руководства) к осуществлению зафиксированных противоправных действий, то есть в уже зафиксированных случаях как бы "причастности".

Целесообразно проработать содержание мета-процесса таким образом, чтобы он "срабатывал" одинаково эффективно - и при модернизации уже используемой технологии ДБО, и при внедрении новой. Последний вариант является, естественно, более сложным, поскольку требует быстрой мобилизации специальных знаний.

Итак, речь идет о сходных совокупностях и последовательностях действий, выполняемых при любой модернизации - от внедрения новой технологии банковского обслуживания до модернизации (обновления или замены) банковского аппаратно-программного обеспечения. Понятно, что эффективность таких процедур будет гарантирована только в том случае, если персонал в сходных ситуациях будет выполнять заранее известные и "отработанные" действия, не бросаясь лихорадочно листать внутрибанковские порядки или должностные инструкции, планы на случай чрезвычайных обстоятельств и т.п.

Схема организации мета-процесса

Возможная схема организации мета-процесса адаптации внутрибанковской деятельности при внедрении новых технологий, объединяющего типовые внутрибанковские процессы, приведена на рисунке. Эта же схема, отражающая, по сути, упоминавшуюся новую парадигму современной банковской деятельности, может быть использована для сопоставления текущей ситуации в кредитной организации с теми или иными установками ее органов управления. Точно так же она может применяться для сопоставления данной ситуации с неким оптимальным состоянием развития внутрибанковских процессов для определения тех процедур, которые еще не соответствуют требуемому (оптимальному) состоянию.

     
                                —————¬
                                |———¬|
                               \||/ ||
                                \/  L—  
            ———————————————————————————————————————————————¬
            |                Анализ ситуации               |
            L——————————————————————T————————————————————————
   

------------------------+------------------------¬ ¦ Принятие и документирование решений ¦ L-----------------------T----------------------- ———— -------------------------+-------------------------¬ ¦Распределение ответственности и обязанностей, прав¦ ¦ и полномочий ¦ L------------------------T------------------------ ———— --------------------------+--------------------------¬ ¦ Распределение подконтрольности и подотчетности ¦ L-------------------------T------------------------- ———— ---------------------------+---------------------------¬ ¦ Планирование, разработка внутренних документов ¦ L--------------------------T-------------------------- ———— ----------------------------+----------------------------¬ ¦ Организационные мероприятия, доведение до исполнителей ¦ L---------------------------T--------------------------- ———— -----------------------------+-----------------------------¬ ¦ Технические мероприятия и технологическая документация ¦ L----------------------------T---------------------------- ———— ------------------------------+------------------------------¬ ¦ Эксплуатация, сопровождение, модернизация ¦ L-----------------------------T----------------------------- ———— -------------------------------+-------------------------------¬ ¦ Мониторинг информационного контура банковской деятельности ¦ L------------------------------T------------------------------ ———— --------------------------------+--------------------------------¬ ¦ Управленческое наблюдение и контроль банковской деятельности ¦ L--------------------------------------------------------------- ———— -¬ /\ ¦¦ /¦¦\ ¦L---¦ L--- ————

Рис. 3

На представленной схеме отражены не все базовые процессы, которые могут входить в состав мета-процесса. В частности, не представлен процесс повышения квалификации и переподготовки персонала в связи с внедрением новых банковских технологий. То же самое можно сказать о кадровой политике и реализующем ее процессе и т.п. Возможно отражение на схеме и другой специфики, включающей, например, работу в условиях имеющейся или формируемой филиальной сети. Впрочем, по мнению автора, составление подобных схем для конкретной кредитной организации или дополнение представленной не связано с принципиальными затруднениями - все зависит от особенностей построения структуры кредитной организации, содержания ее деловой активности и приверженности органов управления процессному подходу. Да и "глубина" проработки процессной организации для разных групп кредитных организаций будет различна: бессмысленно требовать всеобъемлющего процессного подхода от кредитной организации, численность персонала которой составляет несколько десятков человек, а число применяемых современных банковских технологий велико. Да и квалификация сотрудников разных кредитных организаций может варьироваться в широких пределах и т.п.

Внутреннее рейтингование

В заключение необходимо рассмотреть вопрос оценивания, в частности рейтингового. Считается, что процессный подход не может быть эффективно использован, если вместе с описанием процессов не разработана некая шкала оценок, позволяющая определить, насколько адекватны внутрибанковские процессы деловым потребностям кредитной организации, что при внедрении процессного подхода необходима уверенность в результатах, которую может обеспечить только контроль над самим этим внедрением. Это, в свою очередь, предполагает какое-либо периодическое сопоставление текущих результатов с предполагаемыми конечными (установленными стратегией, принятой для конкретной организации). Поэтому, как и во многих других подходах к внедрению решений системного характера, в данном случае также необходимо установить такие критерии, которые позволили бы судить как минимум о:

- возможности описания функционирования конкретной кредитной организации как таковой с помощью выделения внутрибанковских процессов;

- степени "организованности" или, иначе, совершенства собственно внутрибанковских процессов;

- содержании процессов в виде совокупностей (последовательностей) упорядоченных процедур.

Поскольку процессный подход изначально предполагался для повсеместного использования без привязки к какой-либо предметной области человеческой деятельности (в особенности допускающей ее автоматизацию), абстрагирование от этой самой деятельности оказалось необходимым условием. В то же время из-за этого как неизбежные следствия возникли, во-первых, методологическая обобщенность и, во-вторых, потребность в конкретизации для каждого вида деятельности.

Поэтому результатом методических разработок стала шкала из набора уровней (градаций), которую можно было бы определить как совокупность оценок качества организации конкретной деятельности, снабженных некими комментариями, поясняющими условия, которым соответствуют эти оценки. Одновременно считается, что при практической реализации процессного подхода в той или иной области, том или ином учреждении (на том или ином предприятии) становится принципиально важной адекватная трактовка таких комментариев в приложении к определенным направлениям их деятельности. Что же касается возможной практической интерпретации таких критериев в приложении к тем или иным технологиям электронного банкинга (опять-таки с позиций риск-фокусированного надзора), то данный вопрос, естественно, требует в каждом конкретном случае отдельной проработки, поскольку между технологиями такого рода существует ряд принципиальных различий, особенно в части процедур ввода, передачи, доведения и предварительной обработки клиентской информации, а также в других отношениях, например аппаратно-программных комплексах конкретных провайдеров. Все это перспективные направления для дальнейших исследований.

Основу рассматриваемой здесь системы оценок (использованной также в проекте "Стандарт качества банковской деятельности", разработанном совместно Банком России и Ассоциацией российских банков) составляют положения из стандарта CObIT <1>. В этом стандарте вводятся шесть "уровней зрелости процесса" <2>: нулевой, характеризующий отсутствие процессов менеджмента, и пять, характеризующих "оценку уровня зрелости": начальный, повторяемый, определенный, управляемый, оптимизированный. Отметим, что предложенная классификация отличается от уже ставших привычными рейтинговых систем, включающих пять оценочных уровней (типа CAMEL, URSIT <3> и др.), что может помешать при попытках их совместного использования, однако это пока непринципиально, поскольку ниже говорится только о подходе к классификации как таковом.

     
   ————————————————————————————————
   

<1> Control Objectives for Information and related Technology (руководство, разработанное Институтом управления информационными технологиями (ITGI, США), отражающее "хорошую практику управления информационными технологиями!).

<2> Не слишком удачный перевод, с точки зрения автора, термина maturity, в тексте статьи использовано понятие "степень совершенства".

<3> См.: Лямин Л.В. Универсальная рейтинговая система для информационных технологий, применяемая органами банковского надзора США // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. N 5. С. 113 - 120; N 6. С. 114 - 124.

В рассматриваемом нами варианте описана исходная модель процессного подхода, включающая следующие характеристики степени совершенства ("уровней зрелости") процессов (в данном случае рассматриваемых как внутрибанковские):

1. Отсутствие <4>. Процессы управления не применяются и не описаны. Осознание проблем с управлением рассматриваемой деятельностью в организации (в данном случае кредитной) отсутствует.

     
   ————————————————————————————————
   

<4> В стандарте CObIT использованы градации от 0 до 5. Данная оценка соответствует такой ситуации, когда решения о применении банковских технологий принимаются спонтанно, а решение практических вопросов полностью зависит от исполнителей в подразделениях, в основном, естественно, подразделениях информатизации (автоматизации). Такая кредитная организация подвержена наибольшему числу факторов риска, внедрение любого вида ДБО может подвергнуть ее серьезным испытаниям. Об эффективности деятельности говорить не приходится, результаты больше зависят от удачи, чем от профессионализма. 2. Минимум. Процессы специализированы, но являются неорганизованными. Имеются документы, свидетельствующие о понимании в организации проблем управления, однако существующие процессы управления не стандартизованы, применяются эпизодически (при возникновении очевидной необходимости) и бессистемно. Общий подход к управлению рассматриваемой деятельностью не выработан. 3. Повторяемость. Процессы повторяются "на регулярном основании". Они проработаны до такого уровня, что решение одних и тех же задач возможно разными исполнителями. В то же время регулярное обучение и тренинг по стандартным процедурам отсутствуют, а ответственность (практически) возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок. 4. Определенность. Процессы документированы и взаимосвязаны, стандартизованы и доведены до персонала посредством обучения. В то же время применяемые процедуры неоптимальны и несовременны, поскольку являются отражением использовавшейся в организации практики. 5. Управляемость. Процессы наблюдаются и оцениваются - имеют место мониторинг и оценка соответствия. При выявлении низкой эффективности процессов управления рассматриваемой деятельностью обеспечивается их оптимизация. Процесс управления постоянно совершенствуется и основан на хорошей практике. Средства автоматизации управления используются, но в небольшом объеме. 6. Оптимальность. Процессы управления рассматриваемой деятельностью соответствуют "лучшей практике", основанной на постоянном совершенствовании и сравнении степени их совершенства с другими организациями, а также автоматизированы. Организация способна к быстрой адаптации процессов при изменениях в бизнесе и условиях его ведения. Это "идеальная" ситуация, напоминающая полностью автоматизированное производство. Кредитной организации с такой организацией деятельности "не страшно" браться за любые проекты, на которые хватит ресурсов, поскольку все мета-процессы отлажены и гарантируют плавную и естественную адаптацию к изменяющимся условиям ведения бизнеса. Органам же банковского надзора остается только с удовлетворением наблюдать за ее успешной деятельностью в условиях полностью хеджированных рисков, которой не угрожает никакая конкуренция. Интерпретировать промежуточные ситуации, располагающиеся между худшим и лучшим вариантом, относительно несложно. Оценка качества конкретной банковской деятельности в общем случае устанавливается равной среднеарифметической уровней зрелости (они варьируются от 0 до 5) по всем составляющим деятельности. Преимуществом предложенной модели считается то, что ее относительно несложно использовать и руководству организации в применении к себе как своего рода оценочную шкалу. Самооценка такого рода позволяет понять, что именно необходимо изменить, если возникает потребность в совершенствовании функционирования организации (впрочем, и собственно необходимость этого надо еще увидеть и осознать!). Отсчет начинается с нулевой оценки потому, что отсутствие каких-либо процессов вообще вполне реально, а диапазон оценок до 5 позволяет увидеть различия в степени организации процессов, выделяя те характеристики, которые уже имеются, и те, которые явно отсутствуют. С точки зрения риск-фокусированного надзора в области ДБО здесь можно отметить, что более уместной представлялась бы более сложная система оценивания, включающая хотя бы несколько весовых коэффициентов "значимости" (допустим, трех: высшей, средней и низшей), поскольку кредитные организации могут все-таки значительно различаться в части внутрибанковских процессов в зависимости от их организации (в том числе по степени автоматизации банковской деятельности, составу клиентуры - юридических/физических лиц, доле VIP-клиентов, составу предлагаемых банковских услуг и способам их предоставления и т.д.). Однако, несмотря на целесообразность, это существенно усложняет рассматриваемую задачу на текущем этапе исследований, поэтому пока остается хотя и ближайшей, но все-таки перспективой. В итоге можно сказать, что надзорное оценивание естественным образом трансформируется в составную часть корпоративного управления. В современных условиях банковской деятельности процесс самооценки по тем или иным ее направлениям стал уже практически типовым для кредитных организаций, на что их ориентируют и последние по времени документы, разрабатываемые Банком России. При последующем совершенствовании организации банковской деятельности руководство кредитной организации может использовать итоги самооценки результатов адаптации внутрибанковских процессов и процедур к новым условиям функционирования кредитной организации, оценки внешнего аудитора и (или) собственной оценки соответствия тем или иным корпоративным стандартам качества банковской деятельности в качестве одного или нескольких из числа критериев, разработанных для качества управления кредитными организациями. Л.В.Лямин Начальник отдела интернет-банкинга Управления методологии рисков внутрибанковских систем Департамента банковского регулирования и надзора Банка России Подписано в печать 18.04.2007 ————