|
…ется незначительное надзорное внимание: 4 - ненадежные и неустойчивые условия работы; 5 - критическая операционная ситуация. Для получения той или иной оценки рассматриваются 4 сферы деятельности коммерческого банка: проведение аудита, управленческая деятельность, организация разработок и приобретений, организация поддержки и сопровождения. В части аудита рассматриваются:
Оценка деятельности руководства банка осуществляется по следующим позициям:
Наконец, процессы поддержки и сопровождения, организованные в банке, рассматриваются со следующих позиций:
Поскольку в настоящее время компьютерные системы проникли во все области банковской деятельности, качество информационных технологий и создание пруденциальных условий для их применения приобретают особое значение, что неоднократно подчеркивалось в ходе семинара. Принципиально важным во взаимосвязи двух рейтинговых систем является то, что рейтинг менеджмента в системе САМЕLS не может быть равен 1, если общий рейтинг URSIT не равен 1. По совокупности надзорных оценок для уровней рисков и качества управления рисками для каждого банка строится так называемая «матрица агрегированного риска», в которую сводятся «триады» оценок по двум этим показателям (в приведенной ниже табличной форме затемнены ячейки с установленными надзорными оценками для уровней): Интересно отметить, что на семинаре изначально были декларированы 3 уровня агрегированного риска: высокий, умеренный и низкий. Однако, как видно из представленной таблицы, реально говорится не о трех уровнях риска, а о пяти (соответствующие ячейки соединены в таблице отрезками линий)1. В связи с данной таблицей оценивается еще и так называемый «тренд риска», однако ввиду ограниченного объема статьи он здесь комментироваться не будет, можно сказать, что это прогноз возможной тенденции изменения уровня агрегированного риска на следующий надзорный период для банка, который может принимать 3 значения: «возрастание», «снижение» и «стабильность». В итоге формируется некая «Таблица рейтинга банковских рисков», пример которой показан ниже:
Не менее интересно то, что когда в дискуссии на семинаре внимание американских специалистов было обращено на очевидную аналогию между пятью заданными коэффициентами или градациями в системе САМЕЬЗ и фактическими пятью оценочными уровнями агрегированного риска, это явилось для них самих неожиданностью (!). По-видимому, следующий аналитический шаг не предполагался. Из этого, по мнению автора, следует, что практически применяемая американскими специалистами система риск-фокусированного надзора до настоящего времени находится фактически в процессе разработки, и ее нельзя считать законченной, тем более что ее «стыковка» с системой 1Ж51Т осуществлена лишь недавно. Из общей совокупности банковских рисков, учитываемых УКДО в рамках ИБ, основное внимание уделяется стратегическому, репутационному, операционному и правовому рискам. Считается, что стратегический риск (точнее, состав его компонентов) обусловлен неправильным планированием и неполным учетом особенностей интернет-обслуживания при выборе и реализации стратегических направлений банковского бизнеса. Поэтому руководству банка необходимо организовывать работу таким образом, чтобы гарантировалась интеграция стратегических целей и бизнес-планов, в банке достигалось полное понимание рисков, ассоциируемых с теми или иными банковскими технологиями, а также обеспечивался полноценный функциональный контроль. Для снижения вероятности реализации репута-ционного риска руководству банков рекомендуется обеспечить наличие политики и внутрибанковских процедур в письменном виде, а также доведение содержания этих документов до персонала банка. Необходимо иметь средства контроля безопасности (в широком смысле) и план действий на случай непредвиденных обстоятельств. Кроме того, следует обеспечить регулярное повышение квалификации и переподготовку персонала, особенно ответственных исполнителей, связанных с поддержанием и сопровождением технологии ИБ. Что касается самого руководства, то оно должно организовать внутрибанковский мониторинг всех перечисленных процессов и гарантировать, что все, что должно быть сделано в части обеспечения надежности ИБ, действительно реализовано. Принципиальной основой репутационного риска является несоответствие работы банка ожиданиям клиентуры. В оптимальном случае банк располагает специальной программой управления риском репутации. Что касается правового риска (иногда называемого также риском несоответствия), то, как было сказано, «важно понимать, каким образом можно интерпретировать действующие законы и правила в приложении к виртуальному миру». Это касается допустимости тех или иных услуг, процедур дистанционного открытия счетов, авторизации в электронной форме, письменных соглашений, законодательства о защите прав потребителя, применимости тех или иных законов федерального и регионального уровней. Все эти вопросы, равно как и документирование операций ИБ, должны рассматриваться руководством банка с учетом возможных изменений в банковском законодательстве. По результатам такого рассмотрения необходимо вносить соответствующие коррективы в принятые в банке политику и процедуры, консультируясь при необходимости с органом банковского надзора. Наконец, рассмотрение операционного риска связано с учетом наибольшего числа факторов риска. Прежде всего это возможные аварии и сбои в работе оборудования, как самого банка, так и его провайдеров, вследствие чего банк должен тесно взаимодействовать с организациями и фирмами, от которых так или иначе зависит его работа, с тем чтобы можно было гарантировать минимизацию своего рода «наведенных рисков». Наибольшее внимание надо уделять процедурам сопровождения внутрибанковских систем, обеспечения их защищенности и восстановления их работоспособности в случае форс-мажорных обстоятельств. Насколько серьезен подход УКДО, можно понять с учетом одного из нововведений в его рекомендации после террористической атаки на США 11 сентября 2001 года: банк должен располагать резервными процессинговыми мощностями и хранилищами данных, расположенными не менее чем за 25 миль от основного здания (головного офиса). В общем случае необходимо четко понимать, что управление рисками и распределение ответственности за это непосредственно зависит от конфигурации компьютерных систем, используемых банком. Также банк должен располагать штатом специалистов, соответствующим сложности этих систем. Вообще, поскольку системы ЭБ, в том числе ИБ, образованы множеством компонентов, требуется организация многоуровневого контроля, за что также отвечает руководство банка. В завершение необходимо отдельно рассмотреть проблемы, возникающие при использовании коммерческими банками услуг, предоставляемых третьими сторонами. Специалистами УКДО был описан интересный подход, ориентированный на снижение уровней компонентов банковских рисков, связанных с аутсорсингом (в разных вариантах). Отношения между органами банковского надзора и провайдерами услуг для коммерческих банков (в широком смысле) регулируются так называемым «Законом о банковских обслуживающих компаниях». В этом законе сказано, что таковой считается любая корпорация или компания с ограниченной ответственностью, организованная для предоставления видов обслуживания, определяемых данным документом, все акции которой принадлежат одному или более застрахованным банкам. Таким организациям разрешается осуществление следующих видов обслуживания депозитных учреждений: обработка данных по депозитам и чекам, балансам, отчетам, выполнение расчетов (включая данные по кредитам и процентным начислениям), ведение бухгалтерских записей, учет, статистическая обработка данных и выполнение тому подобных функций, свойственных депозитным учреждениям. В то же время, таким компаниям запрещено принимать депозиты, кроме того, существуют географические и другие ограничения, налагаемые Советом директоров ФРС. Вместе с тем (и это представляется важной особенностью), органы банковского регулирования и надзора наделяются полномочиями по регулированию деятельности и проведению проверок сервисных компаний на том основании, что деятельность коммерческих банков может непосредственно зависеть от этих компаний, а значительное количество источников компонентов банковских рисков, как подчеркивалось на семинаре, связано как раз с провайдерами тех или иных услуг для банков. Мало того, банкам вменяется в обязанность информировать орган банковского надзора о каждом из провайдеров, к услугам которого прибегает банк, не позднее чем через 30 дней после заключения договора с таким провайдером или после реального начала обслуживания (в зависимости от того, что имело место раньше). Нарушение этих требований для банка чревато серьезными санкциями со стороны надзорного органа вплоть до судебного преследования. Впрочем, хорошим дополнением к законодательной базе служат подзаконные акты УКДО, в которых, в частности, постулируется, что рисковые составляющие, концентрирующиеся у провайдеров услуг для конкретного банка, относятся к операционному, правовому и репутационному рискам, а следовательно, в самих банках должны существовать программы мониторинга деятельности и состояния провайдеров требуемых им услуг и видов обслуживания. Кроме того, сами коммерческие банки фактически обязываются осуществлять контроль над функционированием и финансовым состоянием своих провайдеров. Ответственность же за качество аутсорсинга в любом случае несет руководство банка, пользующегося услугами третьих сторон. К сожалению, в рамках одной публикации сложно описать разнообразие мнений по организации и содержанию риск-фокусированного надзора в области Интернет-банкинга, распределения полномочий между органами финансового контроля, организационных решений, принятых в разных странах, и т.п. Тем не менее, автор надеется, что представленное изложение вопросов, рассматривавшихся на международном семинаре, окажется полезным и интересным читателям журнала.
|
|