Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Акцент на этом целесообразно сделать в положениях о СБ и о службе ВК, а также отразить соответствующий подход в «Положении о системе внутреннего контроля» кредитной организации, «Положении об управлении банковскими рисками» и «Политике обеспечения информационной безопасности». Надо подчеркнуть, что внедрение каждой новой ТЭБ и реализующей ее СЭБ, даже если такие системы однородны (как, например, системы интернет-банкинга для юридических и физических лиц), должно бы сопровождаться проявлениями мета-процесса в отношении упомянутых документов и процедур в составе соответствующих внутрибанковских процессов. Впрочем, сказанное здесь не исключает пропагандирование моральных и этических корпоративных ценностей, только в условиях применения ТЭБ его лучше строить таким образом, чтобы не натолкнуть кого-либо из ответственных исполнителей на мысль об использовании возможностей виртуального пространства в личных целях, отличающихся от корпоративных.

Принцип 4. Чтобы система внутреннего контроля была эффективной, требуется распознавать и постоянно оценивать материальные риски, которые могут негативно повлиять на достижение целей банка. Это оценивание должно охватывать все риски, с которыми сталкивается банк и консолидированная банковская организация (а именно, кредитный риск, страновой и трансферный риск, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и репутационный риск). Может потребоваться пересмотр средств внутреннего контроля в интересах правильного реагирования на новые или ранее неконтролируемые риски.

В комментариях к этому принципу говорится следующее: «Банки заняты бизнесом, связанным с принятием рисков. Поэтому принципиально важно, чтобы в рамках системы внутреннего контроля эти риски распознавались и оценивались на постоянной основе. С позиций внутреннего контроля при выявлении рисков должны идентифицироваться и оцениваться внутренние и внешние факторы, которые могут негативно повлиять на достижение функциональных, информационных и правовых целей банковской организации». В этом принципе намечено нечто более конкретное сравнительно с предыдущими — эффективность включает выявление, распознавание + непрерывное оценивание всех материальных рисков, без чего эффективность не может быть достигнута (приведенный состав банковских рисков отличен от предложенных в книге).

Указывается также, что «эффективное выявление рисков предполагает идентификацию и изучение внутренних факторов (таких как сложность организационной структуры, характер банковской деятельности, качественный состав персонала, организационные изменения и текучка кадров), равно как и внешних факторов (таких как вариации финансовых условий, изменения в данной сфере и технологические усовершенствования), которые способны негативно повлиять на достижение банком своих целей». При этом выявление риска следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе — в случае многофилиальных организаций (о чем дополнительно будет сказано в параграфе 5.6). Остальное содержание этого принципа, по существу, уже было прокомментировано в параграфе 5.2.

Принцип 5. Работа по осуществлению контроля должна входить в повседневную деятельность банка. Чтобы система внутреннего контроля была эффективной, требуется должная структура контроля с определением контрольных мероприятия для каждого уровня бизнеса. В их число следует включить проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.

Этим принципом введен еще один компонент, определяющий эффективность ВК, — должная структура контроля. Это означает, что с самого начала контрольная деятельность планируется и реализуется для снижения уровней рисков, которые банк идентифицирует. Такая деятельность осуществляется в два этапа: 1) разработка соответствующей «политики» и процедур контроля; 2) подтверждение того, что указанные политика и процедуры действуют. Контролем также предлагается охватывать все уровни персонала в кредитной организации: от высшего руководства до операционистов. В комментариях к этому принципу электронные банковские технологии не упоминаются, а значит, банковские специалисты, входящие в СВК, в случае внедрения конкретной ТЭБ должны руководствоваться своими представлениями, а высшему руководству ВК придется принимать решение относительно степени адекватности новых подходов к его осуществлению принципам БКБН. Можно представить также квалификационные требования к таким специалистам. В Рекомендациях приведены следующие примеры контрольной деятельности:

проверки высшего уровня — совет директоров и высшее руководство требуют отчеты о работе, позволяющие проверять, насколько текущая деятельность в банке соответствует поставленным целям. При этом имеет место интенсивное взаимодействие с менеджерами среднего звена, в ходе которого могут выявляться недостатки в контроле, ошибки в отчетности или мошенничества;

средства оперативного контроля — руководство департаментов или управлений получает и проверяет стандартизованные отчеты о текущей работе на ежедневной, еженедельной или ежемесячной основе в зависимости от особенностей бизнес-направлений. Собственно контроль реализуется при взаимодействии руководства с отчитывающимся персоналом по схеме «вопрос — ответ»;

средства физического контроля — они обычно ориентированы на ограничение доступа к активам, включая наличные и ценные бумаги. В собственно деятельность включены физические ограничения, двойная защита и периодическая инвентаризация;

соблюдение установленных ограничений — имеется в виду подверженность риску, например, установление лимитов для заемщиков (в плане кредитного риска) и диверсификация профиля риска [162] Это понятие введено без комментариев, вследствие чего не совсем ясно, имеет оно частный (интуитивно понятный) или общий характер, в последнем случае для каждой ТЭБ целесообразно проведение специального анализа подмножества источников компонентов банковских рисков. ;

утверждение и авторизация — в отношении конкретных транзакций, особенно выходящих за установленные пределы, трактуется как информирование руководства соответствующего уровня, утверждающего эти действия, о том, что такие случаи имеют место.