3.1. Процессный подход – базовые положения

Акцент на внутрибанковских процессах и на условиях, в которых они реализуются, не случаен: изучение использования кредитными организациями систем электронного банкинга свидетельствует, что результаты и эффективность применения новых, зачастую достаточно сложных технологий ДБО, которые базируются на распределенных компьютерных системах, сети Интернет, мобильных компьютеризованных устройствах, телекоммуникационных сетях и т.п., непосредственно зависят от условий, в которых технологии такого рода применяются. То же самое относится к парированию влияния источников банковских рисков, непосредственно связанных с такими способами обслуживания клиентов. Важно отметить также то, что при этом далеко не все руководители кредитных организаций осознают возможное влияние технологий ДБО на выполнение утверждаемых ими стратегических планов и поддерживаемые в этих организациях бизнес-модели, ибо новые технологии электронного банкинга способны существенно изменить условия их реализации, повышая уровни типичных банковских рисков. Поэтому при внедрении конкретного варианта ДБО целесообразно изначально определить его специфику именно из этих соображений, причем не просто как очередной новой технологии, реализуемой через компьютерные и телекоммуникационные системы нового поколения, но и переводящей банковскую деятельность в «виртуальное пространство» практически без каких бы то ни было ограничений. На этом целесообразно сделать акцент и при пересмотре подходов к модернизации процесса УБР, его описания и содержания, а также к распределению обязанностей и ответственности за его реализацию между исполнительными органами и рядом структурных подразделений кредитной организации, перечисляемых в параграфе 3.2.

Само отсутствие подобного учета может обусловить реализацию банковских рисков – вероятностных по сути событий – и обращение их в реальные финансовые потери, причем именно из-за неосознаваемого повышения этой вероятности (если в кредитной организации относятся к своим компьютерным технологиям без должного внимания). Поэтому руководству кредитной организации логично было бы при принятии решения о переходе к ДБО задумываться не только о ТЭО любого из возможных его вариантов (что само по себе в отечественном банковском секторе встречается нечасто), но и о ресурсной базе процесса УБР с точки зрения оценки ее достаточности. Не исключено, что ее негативная оценка окажется весомым аргументом в пользу либо отказа от такого решения, либо реализации его только после накопления достаточных ресурсов в части административных и организационно-технических решений, персонала подразделений кредитной организации, его совокупной квалификации и т.п. Впрочем, последние годы функционирования российского банковского сектора отмечены тенденцией как к повышению качества корпоративного управления в кредитных организациях, так и к поиску путей его дальнейшего совершенствования, что (как показывает и зарубежная практика) при использовании процессного подхода существенно облегчается.

1

Coderre D. Internal Audit. Efficiency through automation. John Wiley&Sons Inc., Hoboken, NJ, USA, 2009.

2

Сводная информация приведена в пресс-релизе Банка России, размещенном на его официальном web-сайте по адресу http://www.cbr.ra/press/Archive_get_blob.asp?doc_id=090313 1311401.htm.

3

См., например, исследование: Boyd C, Jacob К. Mobile Financial Services and the Underbanked: Opportunities and Challenges for M-banking and M-payments. The Center for Financial Services Innovation, Chicago, Il, April 2007.

4

PDA = Personal Digital Assistant – тип сверхлегкого миниатюрного персонального компьютера.

5

WAP = Wireless Application Protocol – протокол беспроводного взаимодействия, служит для обеспечения беспроводного доступа к сервисам Интернет с помощью мобильного телефона. SMS = Short Message Service – служба коротких сообщений, позволяющая пользователям мобильных телефонов осуществлять двусторонний обмен текстовыми сообщениями между собой, а также с информационными системами разного назначения. GSM = Global System for Mobile communications – глобальная система мобильной связи. GPRS = General Packet data Radio Service – общая служба радиопередачи пакетированных данных, предназначенная для осуществления экономичного обмена данными с помощью мобильного телефона, включая обеспечение WAP-доступа к Интернету. Wi-Fi = Wireless Fidelity – обозначение некоторых типов беспроводных локальных вычислительных сетей (Wireless Local Area Network – WLAN), в которых используются спецификации протокола семейства 802.11. POS = Point-Of-Sale – пункт продаж, место продавца (кассира). POS-терминал – устройство, предназначенное для дистанционного проведения расчетов за покупки в торговых предприятиях с использованием банковских пластиковых карт.

6

Любые технологии электронного банкинга реализуются распределенными автоматизированными компьютерными системами, относящимися к системам «Банк – Клиент»; тем не менее для удобства классификации в главе 1 будет рассмотрена соответствующая обобщенная схема деления этих технологий, используемая в интересах банковского надзора, в частности, Банком Германии («Дойчебундесбанком»).

7

Использована формулировка из Указания оперативного характера Банка России от 23 апреля 2004 г. № 70-Т «О типичных банковских рисках».

8

Общепринятый термин в материалах зарубежных органов банковского регулирования и надзора.

9

Системы электронного банкинга такого рода в зависимости от их сложности, архитектуры, многоканальности и т.п. характеристик могут стоить от тысяч до миллионов условных единиц. Учет этого фактора с позиций риск-ориентированного подхода важен с точки зрения оценки потенциального стратегического риска.

10

По материалам семинара по надзору в области электронного банкинга, проведенного «Дойчебундесбанком» для специалистов Банка России в 2002 г. Приведенная схема используется в надзорных целях до настоящего времени.

11

Coderre D. Internal Audit. Efficiency through automation. John Wiley & Sons Inc., Hoboken, NJ, USA, 2009.

12

См., например, Risk Management Principles for Electronic Banking. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, July 2003; Internet-Banking. Comptroller's Handbook. I – IB. Office of the Comptroller of the Currency, Washington, DC, USA, October 1999; E-Banking. Federal Financial Institutions Examination Council, Washington, DC, USA, August 2003.

13

Пруденциальный (англ. prudential от лат. prudens) – разумный, осторожный, отказывающийся от риска.

14

Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52 – 63; № 6. С. 43 – 54; № 7 – 8, С. 37-54.

15

Письма Банка России от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании»; от 30 января 2009 г. № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» и др.

16

Статья 160 ГК РФ.

17

См., например, такие документы, как Положение Банка России от 19 августа 2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; письма Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; от 30 августа 2006 г. № 115-Т «Об исполнении Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем…» в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 5 апреля 2007 г. № 44-Т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)».

18

Понятие «ордер клиента» введено и определено в Письме Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».

19

В этой книге понятие аутсорсинга интерпретируется в наиболее широком смысле, а не в традиционном понимании, как передача кредитной организацией сторонней организации выполнения каких-либо функций, которые она могла бы выполнять сама, но ей самой невыгодно это делать по соображениям, например, финансового плана. Тем самым, по мнению автора, обеспечивается наиболее полный охват вариантов зависимости банковской деятельности от сторонних организаций, которые подлежат учету в управлении рисками банковской деятельности.

20

WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance. Federal Deposit Insurance Corporation, National Credit Union Administration, Office of Thrift Supervision, Office of the Comptroller of the Currency, Washington, DC, April 23, 2003.

21

Internet-Banking. Comptroller's Handbook. I – IB.

22

Coderre D. Internal Audit. Efficiency through automation.

23

Guiding Principles in Risk Management for U.S. Commercial Banks. The Financial Services Roundtable, A Report of the Subcommittee and Working Group on Risk Management Principles; Washington, DC, USA, June 1999.

24

Автор располагает материалами таких учреждений только из США, Канады, Западной Европы и Великобритании, а также Сингапура и Южной Кореи, однако это не умаляет общности рассмотрения.

25

Например, Risk Management Principles for Electronic Banking.

26

Цитируются материалы семинара, проводившегося для специалистов Банка России в 2004 г.

27

Office of the Comptroller of the Currency – OCC, в составе которого служба банковского инспектирования была создана еще в 1863 г., а в 1874 г. – банковский надзор, этой истории посвящена книга Robertson R.M. The Comptroller and Bank Supervision. OCC, Washington, DC, USA, 1995.

28

В терминологии документов ОСС.

29

Large Bank Supervision. Comptroller's Handbook. ЕР-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001.

30

По информации, полученной автором на ряде международных семинаров по вопросам обеспечения надежности банковской деятельности, проводившихся под эгидой органов банковского регулирования и надзора.

31

Guiding Principles in Risk Management for U.S. Commercial Banks. June 1999.

32

По аналогии с принципами «Знай своего клиента» и «Знай своего работника», которые часто фигурируют в литературе в связи с исследованиями банковских рисков.

33

Это тем более справедливо в ситуациях территориального разнесения официально зарегистрированной кредитной организации или ее филиала и процессингового центра, а также в условиях так называемого «оффшоринга» – трансграничного аутсорсинга процессинга.

34

Эти понятия подробно поясняются ниже.

35

Large Bank Supervision.

36

Имея в виду интерпретацию банковского сектора страны как некой системы, состоящей из взаимодействующих кредитных организаций, их клиентов и контрагентов, функции которых известны и унифицированы за счет регламентации, которая, впрочем, охватывает лишь часть банковской деятельности.

37

Risk Management Principles for Electronic Banking.

38

В качестве примера можно привести принятый еще в 1962 г. Федеральный закон США «О компаниях, обслуживающих банки», в котором речь идет о контроле над провайдерами кредитных организаций.

39

Risk Management Principles for Electronic Banking.

40

Virtual Private Network – VPN.

41

Как ни странно, в обширной литературе, посвященной банковским рискам, автору не удалось найти упоминания весьма важного акцента, значительно отличающего практическую интерпретацию понятия ликвидности в новых, высокотехнологичных условиях банковской деятельности от традиционно принятой.

42

Internet-Banking. Comptroller's Handbook.

43

Здесь излагается подход только одного органа банковского регулирования и надзора. Позиции других аналогичных по функциям учреждений США от этого подхода несколько отличаются как по количеству учитываемых банковских рисков, так и по составу их компонентов.

44

Здесь и далее в квадратных скобках приводятся слова, поясняющие контекст, поскольку полные переводные выдержки из текста документа, которые содержат необходимые в каждом случае пояснения, заняли бы слишком много места.

45

В зарубежной терминологии – Electronic Funds Transfer.

46

Как это определено в Письме Банка России от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».

47

Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, BIS, Basel, July 2003.

48

Risk Management Principles for Electronic Banking.

49

Наиболее «популярный» в последние годы вид сетевых атак – Distributed Denial of Service (DDoS), представляющий расширенный вариант DoS-атаки за счет задействования компьютеров, находящихся в сетевых структурах сторонних организаций за счет «заражения» их специальными вирусами-червями (см. ниже).

50

Decision Support System/Management Information System.

51

Интерпретируемой как свойство сохранять значения установленных параметров функционирования в определенных пределах, соответствующих заданным режимам и условиям в течение установленного времени.

52

Это касается и практики так называемых «заплаток» (patches) для программного обеспечения.

53

Это понятие определено Банком России в упоминавшемся ранее Письме № 36-Т.

54

Приведенное разделение несколько условно, оно основано на различиях в моделях соответствующих угроз для БАС кредитной организации.

55

Crume J. Inside Internet Security. Addison-Wesley, Pearson Education Ltd., 2000.

56

От термина Packet Internet Groper.

57

Комбинация из английских слов robot и net.

58

Под этим понимается осуществление двойного параллельного независимого контроля (в том числе при принятии «ответственных» решений, т.е. значимых для финансового состояния кредитной организации).

59

Лямин Л.В. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в кредитной организации. 2008. № 2. С. 20-31.

60

Guiding Principles in Risk Management for U.S. Commercial Banks.

61

Large Bank Supervision; Community Bank Supervision. Comptroller's Handbook. EP-CBS. Office of the Comptroller of the Currency, Washington, DC, USA, July 2003.

62

Лямин Л.В. Принципы риск-ориентированного банковского контроля в области интернет-банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36 – 38; № 6. С. 35 – 49. Описанный подход справедлив для технологий электронного банкинга в целом.

63

Например, в случае открытия банковского счета, оформления кредита, кассового обслуживания и др.

64

Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52 – 63; № 6. С. 43 – 54; № 7-8. С. 37-54.

65

Это видно в первую очередь по данным, приводимым в формах банковской отчетности 0409070 «Сведения об использовании кредитной организацией интернет-технологий» и 0409251 «Сведения о счетах клиентов и платежах, проведенных через кредитную организацию (ее филиал)».

66

По аналогии с упоминавшейся выше трактовкой понятия «надежность» устойчивость в традиционном понимании интерпретируется как способность восстанавливать свое состояние (режим) после какого-либо возмущения, проявляющегося в отклонениях значений параметров режима от исходных (начальных) значений (или от штатного функционирования).