Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

Как показывает практика, внедрение новых банковских информационных технологий, таких как технологии электронного банкинга, может внести некий «сумбур» в налаженную банковскую жизнь. Как правило, специалистов, которые профессионально разбираются в этих технологиях, не хватает, что во многом объясняется попаданием в нашу страну таких технологий в основном из-за рубежа. Наблюдаются также активные попытки зарубежных компаний-разработчиков банковского программного обеспечения внедриться на российский рынок. Применение любой ТЭБ неизбежно связано с приобретением новой или совершенствованием имеющейся квалификации, вследствие чего задача распределения в кредитной организации ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности может оказаться достаточно непростой. Решать же ее, кроме высшего руководства этой организации, зачастую некому, если только не найдутся в ней энтузиасты, которые спасают ситуацию за счет личной инициативы. Однако, учитывая сложность ТЭБ, полагаться на энтузиазм и специалистов, которые, как нередко приходится слышать, «все знают, вот пусть и делают» — без точных указаний и бесконтрольно — дело рискованное, а наносимый в результате такой халатности ущерб зависит от того, в отношении каких именно массивов данных «сработает» человеческий фактор.

При недостатке понимания того, как функционируют внедряемые технологии и соответствующее АЛО СЭБ, многие компоненты рисков связаны с ошибками в упомянутом выше распределении. Как правило, недостатки в корпоративном управлении проявляются с начала внедрения ТЭБ. В оптимальном варианте руководство кредитной организации инициирует процесс разработки комплекта документарного обеспечения внедряемой ТЭБ (а это свидетельствует, что в его составе имеются лица, знающие о необходимости этого процесса и представляющие его содержание). К сожалению, до настоящего времени многое в области информационных технологий все еще делается, как говорят, «на коленях» и «с колес», что всегда приводит к реализации компонентов банковских рисков и соответственно финансовым потерям, причем о причинах этих потерь нередко даже не догадываются как раз те, кто должен был бы эти потери предотвратить.

Поскольку ТЭБ реализуются в виртуальном пространстве, еще на начальном этапе внедрения следует задуматься об их управляемости и контролируемости. Здесь распределение подчиненности и подотчетности целесообразно устанавливать таким образом, чтобы деятельность в этом пространстве ни в коем случае не зависела полностью от лиц, обладающих уникальными полномочиями в кредитной организации. Речь идет о повсеместно встречаемой чрезмерной концентрации полномочий в руках отдельных должностных лиц, чаще всего это администраторы различного назначения: системные, сетевые, информационной безопасности, баз данных и т. п. Членам высшего менеджмента кредитной организации целесообразно отчетливо понимать, что специалистами этого круга не так просто руководить, как, например, операционистами, деятельность которых ограничена функционалом интерфейса, с помощью которого они управляют банковскими платежными и другими технологическими процессами. Деятельность таких специалистов еще сложнее контролировать, особенно когда дело касается банковских информационных технологических процессов. Членам совета директоров целесообразно иметь отчетливое представление о том, возможно ли осуществление каких-либо несанкционированных действий с помощью ТЭБ (к примеру, в оказавшихся неподконтрольными информационных сечениях автоматизированных систем), а также о том, чем именно гарантируются полнота и целостность информации, получаемой для оценки финансовых результатов деятельности кредитной организации и в последующем служащей для принятия руководящих решений.

Делегирование ответственности в виртуальном пространстве, реализация которой требует незаурядной квалификации, стало в современном компьютерном мире серьезной проблемой двойственного характера, поскольку необходимо не только определить и распределить права и полномочия, но и обеспечить эффективный контроль за их использованием. ТЭБ принципиально осложняют ситуацию тем, что указанное распределение само оказывается распределенным: руководству кредитной организации целесообразно четко осознавать (и фиксировать это осознание во внутрибанковских документах), какие именно полномочия она «выпускает из рук», полагаясь на клиентов и провайдеров, а также какие средства компенсации утраты полного контроля за их деятельностью (хеджирования сопутствующих компонентов рисков) имеются в ее распоряжении.

Принцип 4. Совету директоров следует обеспечивать наличие должного наблюдения со стороны высшего руководства, согласующегося с политикой совета.