Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

В Рекомендациях поясняется, что средства контроля над информационными системами и технологиями должны включать как общие, так и прикладные средства. Под общими средствами контроля понимаются те, которые относятся к компьютерным системам (например, мэйнфреймам и серверам, взаимодействию клиент — сервер, сетевым экранам, рабочим станциям и т. п.) и обеспечивают их непрерывное правильное функционирование. Общие средства контроля включают внутрибанковские процедуры мониторинга и восстановления функционирования, политику информатизации (разработки и приобретения программного обеспечения), процедуры сопровождения (контроля изменений), также средства контроля физического/логического доступа к БАС, СЭБ, ЛВС, ЗВС и пр. Прикладные средства (в соответствии с Положением 242-П) имеют вид «встроенных в служебное программное обеспечение или выполняемых вручную процедур, которые контролируют обработку транзакций и деловые операции. В прикладные средства контроля входят, например, проверка ввода и специфическое управление логическим доступом, уникальное для той или иной системы». При отсутствии адекватных средств контроля над информационными системами и технологиями, включая разрабатываемые системы, банки подвергаются опасности потери данных и программ из-за недостаточности мер физической и логической защиты, отказов оборудования или систем, а также неполноты собственных процедур резервирования и восстановления функционирования. В Рекомендациях отмечается, что «планирование на случай форс-мажорных обстоятельств следует осуществлять по всему банку, с привлечением руководителей направлений бизнеса, не ограничиваясь только централизованными операциями». Что касается самих планов, то их следует периодически оценивать на «функциональность», исходя из возможных внезапных катастрофических событий.

Принцип 9. Чтобы система внутреннего контроля была эффективной, требуются эффективные каналы взаимодействия, обеспечивающие полное понимание и приверженность персонала политике и процедурам, определяющим их обязанности и ответственность, а также доведение информации, имеющей к ним отношение, до соответствующего персонала.

Комментарий этого принципа начинается с постулата «информация бесполезна, если отсутствуют средства ее эффективного доведения». В обязанности руководства вменяется применение таких способов коммуникаций, которые гарантировали бы получение требуемой информации теми, для кого она предназначена. Это утверждение относится к информации как о принятых политике и процедурах кредитной организации, так и о ее реальном функционировании и прямо зависит от организационной структуры, которая должна обеспечивать должное прохождение информационных потоков в соответствующей иерархии «сверху — вниз, снизу — вверх и по горизонтали». Главное — «совет директоров и высшее руководство должны быть в курсе работы банка и деловых рисков и уверены в том, что необходимая информация доводится до руководителей нижнего звена и операционного персонала».

Принцип 10. Следует осуществлять на постоянной основе мониторинг эффективности средств внутреннего контроля банка. Мониторинг основных рисков должен быть составной частью повседневной деятельности в банке, так же как периодическое оценивание направлений бизнеса и внутренний аудит.

Этот и все оставшиеся принципы не имеют непосредственного отношения к ВК и связаны с деятельностью «вокруг» него. Они ориентированы, по-видимому, преимущественно на содержание контрольных функций в отношении кредитной организации (в части ВК), реализуемых органом банковского надзора.

Считается, что, поскольку банковское дело является динамичным и быстро развивающимся, «банкам необходимо осуществлять постоянный мониторинг и оценивание своих систем внутреннего контроля с точки зрения изменений во внутренних и внешних условиях и совершенствовать эти системы в целях поддержания их эффективности». При этом руководство кредитной организации должно четко определить, кто за такой мониторинг отвечает, — это может быть, например, служба внутреннего аудита, а осуществляться он должен на повседневной основе исходя из «состава наблюдаемых рисков, частоты и характера изменений в операционной среде». В части внедрения и развития ТЭБ, безусловно, целесообразно вовлечение службы ВК в эти процедуры, поскольку невозможно контролировать применение новых технологий без ознакомления с ними. Это тем более важно, что современные аппаратно-программные комплексы развиваются столь быстро, что не всегда компании-разработчики успевают полно и качественно провести даже альфа-тестирование, не говоря уже о бета-тестировании. Не менее важно участие ВК в процедурах «стыковки» каждой новой АС с уже действующими, так как это всегда связано с проблемами обеспечения совместимости АПО разных версий и степеней сложности или разных операционных систем. Даже если специалисты ВК не обладают всей полнотой технических знаний (а их профессиональная переподготовка должна быть регулярной — в соответствии с мета-процессом), все равно им следует требовать от специалистов технического плана подтверждения достаточности встроенных или дополнительных (внешних) средств контроля функционирования вновь внедряемой АС и проведения полноценных ПСИ.

Достоинство текущего мониторинга ВК, как отмечается в Рекомендациях, состоит в том, что он позволяет быстро обнаружить и скорректировать недостатки в СВК, однако скорее сами специалисты ВК выявят нехватку какой-либо профессионально необходимой информации, чем какая-либо внешняя по отношению к ним служба (которая должна в этом случае характеризоваться еще более высокой квалификацией, чем внутренние контролеры). Это относится прежде всего к самооценке используемых средств контроля, а также условий, в которых они применяются. В пределе максимальная эффективность ВК достигается только в том случае, если его средства «интегрированы» в бизнес-процессы, в операционную среду кредитной организации и имеется возможность формирования оперативных контрольных отчетов, содержащих всю необходимую информацию для полноценного контроля функционирования автоматизированных систем, используемых кредитной организацией, в чем должно быть заинтересовано ее руководство.

Принцип 11. Должен быть организован эффективный и полноценный внутренний аудит системы внутреннего контроля, осуществляемый функционально независимым, прошедшим должную подготовку и компетентным персоналом. Те, кто осуществляет функцию внутреннего аудита как части мониторинга системы средств внутреннего контроля, должны отчитываться непосредственно перед советом директоров или его аудиторским комитетом и перед высшим руководством.