Мудрый Экономист

Корпоративное управление информационными технологиями

"Управление в кредитной организации", 2011, N 6

В современном банковском деле типичны ситуации, когда процесс управления информационными технологиями оказывается одновременно во многом и процессом управления собственно кредитной организацией. Эффективное управление информационными технологиями должно находить свое выражение в убедительной поддержке бизнес-целей, максимизации отдачи на инвестиции в развитие информационных технологий и должном управлении банковскими рисками <1>.

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

Современный этап развития банковского дела в России характеризуется интенсивным развитием разнообразных информационных технологий, реализуемых в кредитных организациях автоматизированными банковскими системами (АБС) и системами электронного банкинга (СЭБ). По существу весь банковский бизнес, включая выполнение кредитными организациями своих обязательств перед клиентами и контрагентами, корреспондентские отношения, а также подготовку и представление в контролирующие органы регламентной банковской отчетности, полностью зависит от качества применения этими организациями информационных технологий и автоматизированных систем разного рода.

Как показывают исследования, проводимые Банком России (в том числе с помощью таких механизмов, как осуществление прямых тематических сплошных анкетирований кредитных организаций), только по направлению электронного банкинга на сегодняшний день существует более двадцати комбинаций различных технологических решений, обеспечивающих внеофисное банковское обслуживание. При этом очень многие кредитные организации одновременно применяют несколько таких систем, зачастую разнородных, то есть использующих разнообразные технологии информационного взаимодействия с клиентами, различные среды, каналы и линии передачи информации и т.п. Пик соответствующей диаграммы распределения приходится на комплексное применение в банковской деятельности 3 - 5 систем (см. рисунок).

Сравнительные данные о распределении числа банков в зависимости от количества применяемых технологий дистанционного банковского обслуживания

    Количество кредитных                  Количество кредитных организаций,
организаций принявших участие а анкетировании
300¬ в 2008 г. - 1090; в 2011 г. - 1008
¦ ---¬ ---¬
¦ 252 ¦ ¦ 2008 ¦**¦ 2011
¦ --¬ L--- L---
250+------------237---¦ ¦--------------------------------------------------
¦ --¬ ¦ ¦236
¦ ¦ ¦ ¦-+-¬ 212
¦ ¦ ¦ ¦¦**¦ ---¬
200+------198---¦ ¦---¦¦**¦--¦**¦------------------------------------------
¦ --¬ ¦ ¦189¦¦**¦ ¦**¦
¦ ¦ ¦ ¦-+-¬ ¦¦**¦164**¦
¦ ¦ ¦147¦¦**¦ ¦¦**¦ -+**¦
150+------¦ ¦---¦¦**¦-¦¦**¦-¦¦**¦------------------------------------------
¦ ¦-+-¬ ¦¦**¦ ¦¦**¦ ¦¦**¦ 120
¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ --¬
¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦ ¦100
100+------¦¦**¦-¦¦**¦-¦¦**¦-¦¦**¦-¦-+-¬------------------------------------
¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦
50+48----¦¦**¦-¦¦**¦-¦¦**¦-¦¦**¦-¦¦**¦------------------------------------
¦-T--¬ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦44
¦¦¦48¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ -T--¬ 23
¦¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦44¦18---¬
¦¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ -+**¦ 6
¦¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ 5---¬
¦¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ -+**¦ 3 3
¦¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ -T--¬ 1
¦¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ ¦¦**¦ -¬ 0 0 0
+++--+T++--+T++--+T++--+T++--+T++--+T++--+T++--+T++--+T++--+T++---T----¬
0 1 2 3 4 5 6 7 8 9 10 11
Количество одновременно
применяемых технологий

Рисунок

В связи с указанной зависимостью банковской деятельности от информационных технологий и автоматизированных систем любой кредитной организации целесообразно разрабатывать и уточнять с течением времени стратегию развития и применения этих технологий, которую уместно рассматривать как часть общей стратегии. Эту часть логично комбинировать с описанием ряда других внутрибанковских процессов, обеспечивающих надежность банковской деятельности: обеспечения информационной безопасности, внутреннего контроля, финансового мониторинга, правового обеспечения, претензионной работы и др. Такое комплексирование тем более логично, что практически все внутрибанковские процессы опираются сегодня на те или иные информационные технологии и реализация их в современных условиях традиционными методами и средствами "докомпьютерной" эры немыслима. А из этой "глобализации" рассматриваемой проблематики прямо следует необходимость использования для управления применением ИТ-подходов, базирующихся на современных принципах корпоративного управления.

Проблематика управления ИТ

Общие принципы управления применением ИТ, соответствующие общей стратегии кредитной организации и гарантирующие эффективное применение ИТ, в оптимальном варианте излагаются в отдельном внутрибанковском документе, точно и полно описывающем направления бизнеса, которые должны поддерживать используемые, внедряемые и перспективные ИТ, как часть этой стратегии. Тем самым должны гарантироваться: обусловленность применения конкретных технологий (достижения бизнес-целей), их технико-экономическое обоснование (ТЭО) <1>, должное управление банковскими рисками, структура которых неизбежно усложняется вместе с информатизацией банковской деятельности, равно как и управляемость и контролируемость всех ИТ, в особенности реализуемых такими системами, с помощью которых может, хотя бы в принципе, реализоваться та или иная противоправная деятельность (мошенничество, отмывание денег, финансирование терроризма, вредительство и пр.).

<1> Автору неоднократно приходилось слышать в российских кредитных организациях такие ответы на вопрос о причинах внедрения тех или иных СЭБ: "Все это внедряют, и мы тоже", "Это имидж банка XXI века", "Мы находимся в центре Москвы, нашим клиентам парковаться негде" и т.д. О каком-либо ТЭО, даже самого общего плана, в подавляющем большинстве случаев речи просто не шло.

Как ни эффективны используемые кредитными организациями ИТ, к сожалению, идеальных в смысле надежности и защищенности компьютерных систем не существует. Любые АБС и СЭБ подвержены авариям, отказам, сбоям, несанкционированному использованию, сетевым и вирусным атакам и т.п. Помимо этого, как свидетельствует практика, более половины всех ИТ-проектов оказываются "не в смете", автоматизированные системы достаточно быстро устаревают как морально, так и физически, хакеры находят "дыры" в защите компьютерных систем быстрее, чем их разработчики, и т.д. Кроме того, негативное влияние оказывает и традиционно сложившееся финансирование так называемых "не зарабатывающих подразделений" по остаточному принципу, и сохраняющаяся до сих пор компьютерная безграмотность, примером которой может служить фраза, в отчаянии брошенная одним банковским специалистом по обеспечению информационной безопасности: "Я не могу объяснить главному бухгалтеру, зачем мне нужен брандмауэр, - она думает, что брандмауэр - это фамилия!". Случай, конечно, анекдотичный, но очень большое количество карточных и других компьютерных мошенничеств, жертвами которых все чаще становятся те клиенты, которые пользуются СЭБ (в различных формах - от банкоматов и платежных терминалов до систем интернет- и мобильного банкинга), равно как и растущее число соответствующих судебных разбирательств, и потери кредитных организаций на судебных издержках, и многие другие ситуации, свидетельствующие о недостаточно надежном применении ИТ, заставляет предположить, что с управлением применением ИТ в российском банковском секторе далеко не все в порядке.

Основная причина этого, на взгляд автора, имеет системный характер и заключается в том, что управление ИТ до последнего времени все еще не рассматривается как часть эффективного корпоративного управления. Как следствие, многим высокотехнологичным организациям - не только, конечно, финансовым - известны случаи катастрофического прерывания функционирования и невыполнения обязательств перед клиентами и контрагентами из-за плохо спланированного и плохо контролируемого применения ИТ; текучки кадров без адекватной их замены, без поддержания требуемой квалификации и суммы знаний в этой области; недостаточного или нерационального финансирования; да и вообще плохо определенных целей и средств автоматизации. Все вышеперечисленное прямо касается организации и содержания корпоративного управления, квалификации и подготовки бизнес-менеджеров по определенным направлениям деятельности кредитных организаций, уровня их мышления, которое слишком часто и заметно отличается от системного.

В современном банковском деле типичны ситуации, в которых процесс управления ИТ оказывается одновременно во многом и процессом управления собственно кредитной организацией (начиная с АБС, систем электронного документооборота, систем информационного обеспечения менеджмента и заканчивая СЭБ). Эффективное управление ИТ должно находить свое выражение в убедительной поддержке бизнес-целей (а не лишней головной боли высшего руководства), максимизации отдачи на инвестиции в развитие ИТ и должном управлении банковскими рисками, сопутствующими тем или иным разновидностям ИТ, с тем чтобы исключать возможности появления новых источников компонентов этих рисков, парировать те, которые уже успели образоваться, и хеджировать те, которые не удается исключить или парировать, - каждая из этих задач не так проста для решения, как это нередко кажется, особенно при внедрении новых, слабо изученных ИТ.

Особенности управления рисками, связанными с ИТ

Прежде всего целесообразно в рамках корпоративного управления в кредитной организации определить, какие ИТ используются на критично важных направлениях ведения банковского бизнеса. Эти направления целесообразно изучать как развивающиеся во времени совокупности процедур, состоящих, в свою очередь, из операций, лежащих в основе электронного документооборота и составляющих львиную долю современной банковской деятельности как таковой. При этом важно понимать, что речь идет не об устоявшихся раз и навсегда внутрибанковских процессах, а именно о динамической совокупности организационно-технических процедур. Поскольку любая ИТ приводит в конечном итоге ее внедрения к возникновению новых информационных потоков в самой кредитной организации, в ее собственной банковской подсистеме, включающей филиалы, дополнительные офисы, провайдеров (о чем часто забывают), а также вне ее - при дистанционном банковском обслуживании, должно адаптироваться управление ими. В последнем случае соответствующие каналы тянутся вплоть до клиентов, которые могут находиться в любом месте не только данного города или страны, но и мира, где им доступны компьютерные средства связи (через провайдеров).

Поэтому принципиально важным становится проактивный анализ структуры и состава компонентов банковских рисков, прежде всего стратегического, операционного, правового и репутационного, с выявлением новых, ранее не существовавших источников этих компонентов и модификации уже существовавших. Очевидно, что это необходимо для корректировки содержания внутрибанковского процесса управления рисками, который в противном случае станет неадекватным с точки зрения поддержания надежности банковской деятельности кредитной организации в условиях применения ею практически любой новой автоматизированной системы. Указанную корректировку в оптимальном варианте отражают в документе, регламентирующем управление рисками, то есть его новой редакции или дополнении к нему, для чего, естественно, требуется принятие решения на корпоративном уровне с доведением соответствующей информации до подразделений, ответственных за ИТ, обеспечение информационной безопасности, внутренний контроль и т.д. Излишне, вероятно, говорить, что для полноценной корректировки требуется анализ маршрутов и условий прохождения вновь формирующихся информационных потоков, используемых в банковской деятельности, включая условия обеспечения их целостности и сохранения конфиденциальности "чувствительной" к ней информации.

Наиболее серьезной проблемой здесь оказывается то, что исторически высшие менеджеры кредитных организаций, имея лишь экономическое или юридическое образование, слабо разбираются в вопросах информатизации банковской деятельности в целом и тем более в способах и средствах реализации тех или иных технологических решений (особенно в части СЭБ). Тем не менее грамотная адаптация управления банковскими рисками в условиях интенсивной автоматизации банковской деятельности за счет включения в состав советов директоров, правлений и наблюдательных советов кредитных организаций специалистов в части ИТ, обеспечения информационной безопасности и внутреннего контроля (имеется в виду направление аудита информационных систем) стала одним из основных требований современного этапа развития банковского сектора. Без этого крайне сложно выявить новые источники компонентов банковских рисков, установить причины их возникновения (которые могут оказаться принципиально присущи выбираемой технологии, как, например, в случае интернет-банкинга), определить и проанализировать состав угроз надежности банковской деятельности, сценарии развития этих угроз, а также выбрать и внедрить меры противодействия их реализации.

Структурные компоненты управления применением ИТ

Управление применением ИТ включает как минимум следующие три структурных компонента:

Управление этими компонентами целесообразно осуществлять вместе со стратегией развития ИТ в рамках решений, принимаемых руководством кредитной организации. Поскольку любой процесс управления предполагает наличие функции контроля как обратной связи для корректировки управляющих воздействий, специалистам в области ИТ следует снабжать руководство по мере необходимости (которая чаще всего ими же и определяется) информацией относительно потребностей в управлении ИТ, его адаптации к новым условиям (новизна которых, кстати, не всегда осознается, даже тогда, когда речь идет о принципиально новых для кредитной организации технологиях), а также относительно программно-технического обеспечения и провайдеров. Каждый из этих общих вопросов подразделяется на требования к конкретным решениям, которые, в свою очередь, требуют поддержки в форме документарного, кадрового, финансового и другого организационного обеспечения. Все перечисленное, учитывая взаимосвязи между принятием решений и контролем их исполнения, следует отражать и в стратегическом планировании, тем более что немало случаев, когда имеющиеся в распоряжении кредитной организации ИТ оказывают прямое влияние на ее стратегию.

Общие принципы "правильно организованной информатизации" в зарубежных публикациях по управлению банковскими рисками определяются в основном через понятие "лучшая практика", поскольку каноны информатизации такого рода следуют прежде всего из теории надежности и насыщены терминами, не очень популярными в среде финансистов: интенсивность отказов, наработка на отказ, время восстановления, резервирование и т.п. Тем не менее зависимость надежности современной банковской деятельности от ИТ вынуждает разрабатывать внутрибанковские документы, содержащие такие непривычные понятия, поскольку от этого зависит непрерывность функционирования АБС, вычислительных сетей, СЭБ и каналов (линий) связи. Если же говорить о внешнем по отношению к кредитной организации мире, то в расчет следует принимать прежде всего провайдеров и клиентов, поскольку функционирование и отчасти надежность СЭБ непосредственно зависят от них. Исходя из этих соображений руководству высокотехнологичных кредитных организаций логично задуматься о том, что происходит с понятием хеджирования.

В данном случае речь идет об одном из примеров трансформации содержания привычных банковских понятий: принятии защитных мер против реализации неконтролируемых со стороны кредитной организации (в смысле невозможности влияния на них) источников компонентов банковских рисков. Если клиент кредитной организации взаимодействует с ней (точнее, с ее аппаратно-программными комплексами СЭБ) издалека, то руководству этой организации логично учитывать при организации управления банковскими рисками то, что существуют так называемые "зоны концентрации источников компонентов банковских рисков", которые изначально не совпадают с "зонами ответственности" данной организации, например среда Интернета, комплексы операторов сотовой связи и т.п. Поэтому крайне желательно предоставление клиенту резервных каналов связи с кредитной организацией на те случаи, если, скажем, провайдер Интернета подвергнется сетевой атаке или выйдут из строя какие-то его ресурсы, откажет мобильная связь в какой-то зоне покрытия и т.п. В этом случае хеджирование принимает вид дополнительных расходов со стороны банка на организацию тех или иных запасных маршрутов информационного взаимодействия, включая в конечном итоге оплату резервного оборудования, услуг "запасных" провайдеров, работу собственного колл-центра и служащих непосредственно в офисах кредитной организации.

Другим примером трансформации содержания привычного понятия в условиях применения СЭБ является хорошо известный риск ликвидности. К примеру, широкое распространение выполнения операций и информационного обслуживания через посредство банковских карт привело к быстрому росту спроса на услуги, предоставляемые многофункциональными банкоматами. Однако если клиенты ориентированы преимущественно на обслуживание через эти устройства, то руководству кредитной организации стоит обеспокоиться уже не только управлением ликвидностью, но и гарантиями платежеспособности, то есть тем, чтобы обращение клиента к банкомату не осталось неудовлетворенным. Очевидно, что если клиент не получает затребованной суммы (по любой из возможных причин), то риск ликвидности для кредитной организации преобразуется в риск неплатежеспособности.

Стоит отметить, что такое "преобразование" вследствие так называемого "взаимного влияния рисков" приводит к возникновению для кредитной организации компонентов как минимум репутационного и правового рисков (это, в свою очередь, зависит от содержания договора с клиентом). С другой стороны, неработоспособность банкомата может быть обусловлена разными причинами, например технической, то есть реализацией компонента операционного риска; если же причиной стала невозможность своевременного обслуживания сети банкоматов, то речь идет уже о компоненте стратегического риска. Число примеров может быть продолжено. Их смысл в том, что руководству кредитных организаций стоит помнить об указанном явлении, которое в виртуальном пространстве дистанционного банковского обслуживания может реализоваться в достаточно непривычных формах. Это, кстати, одна из основных причин необходимости заблаговременной или оперативной адекватной адаптации документарного обеспечения внутрибанковских процессов.

Весьма желательно, чтобы менеджеры и исполнительский персонал кредитной организации были полностью информированы об изменениях в ее профиле агрегированного риска, а также уровнях и профиле типичных банковских рисков (см. Письмо Банка России от 23.06.2004 N 70-Т "О типичных банковских рисках", материалы Базельского комитета по банковскому надзору и другие публикации). Нередки случаи, когда декларации о совершенствовании управления банковскими рисками с точки зрения его адаптации к новым ИТ реализуются только на бумаге, а следовательно, о корпоративном подходе к управлению рисками и ИТ речи идти не может. При этом руководители кредитных организаций нередко забывают о том, что практически все эти риски реализуются в так называемом "бэк-офисе", то есть в АБС, вычислительных сетях и базах данных. Очевидно, что для своей реализации в АБС компоненты перечисленных выше рисков должны пройти долгий путь от своего источника, который может находиться вне пределов самой организации, к конкретным полям записей в ее базах данных, то есть миновать целый ряд управленческих и исполнительских уровней. Это происходит, если персонал недостаточно подготовлен и действует в плане мониторинга рисков разобщенно, не имея необходимых руководств, должностных инструкций, указаний и не пройдя соответствующую переподготовку.

Надежность применения ИТ - гарантия будущего успеха

В этом плане важно понимать, что доверие со стороны клиентов современных кредитных организаций определяется в первую очередь надежностью АБС и СЭБ, что обеспечивается их управляемостью и контролируемостью. Развитие этих систем неизбежно определяет влияние технологий на банковскую деятельность как таковую, и в первую очередь - на ее надежность. К сожалению, до самого последнего времени большинство кредитных организаций (судя по результатам исследований, проводимых Банком России) не связывает понятие собственной надежности с гарантиями выполнения обязательств перед своими клиентами и контролирующими органами (в первую очередь - Банком России). На самом же деле дальнейшее существование этих организаций как раз и зависит от качества выполнения обязательств перед этими двумя сторонами финансово-правового взаимодействия. Если вспомнить материалы Базельского комитета по банковскому надзору о рисках, связанных с применением СЭБ <1>, то можно обратить внимание на явный акцент, сделанный на правовой и репутационный риски. В Западной Европе на первый план выдвигаются отношения между коммерческими банками и государством и отношения с клиентами. Постулируется, что банк, потерявший доверие государства и (или) своих клиентов, практически не имеет шансов на продолжение функционирования - а это связано в первую очередь с выполнением соответствующих обязательств.

<1> Risk Management Principles for Electronic Banking / Basel Committee on Banking Supervison, Bank for International Settlements. Basel, July 2003.

Об этом, по-видимому, целесообразно было бы заявлять и в уставах кредитных организаций (что, как показывает практика, обнаружить весьма непросто), и в положениях о советах директоров или исполнительных органах, и в других внутрибанковских документах наиболее высокого и общего уровня. Парадоксально, но такие подходы, невзирая на интенсивную автоматизацию банковской деятельности, до сих пор так и не стали традицией. По-видимому, полная зависимость кредитных организаций от своих ИТ и функций упомянутых органов управления и контроля над ними в большинстве случаев просто не осознается (и это подтверждается исследованиями, проводимыми Банком России уже в течение ряда лет). В настоящее время угрозы финансовому бизнесу в различных его проявлениях сравнялись по значимости (или близки к этому) с возможностями предоставления финансовых услуг (подтверждением этого являются многочисленные жалобы клиентов кредитных организаций, поступающие в Банк России и свидетельствующие об очень крупных совокупных потерях из-за компьютерных мошенничеств и сетевых атак разного рода).

Как это ни странно, но стремление предложить обществу максимум удобств, связанных с предоставлением финансовых услуг через глобальные телекоммуникационные системы, наталкивается на активное противодействие со стороны разного рода "деклассированных элементов": хакеров, крэкеров, фишеров, вишеров и пр., подрывающих основы того самого общедоступного финансового обеспечения, которым они сами же охотно пользуются. Это косвенное противоречие необходимо учитывать руководству высокотехнологичных кредитных организаций, поскольку оно прямо и крайне негативно влияет на интересы клиентов их СЭБ и их самих через вирусное и шпионское программное обеспечение, кибератаки и кибермошенничества и т.п., а следовательно, влияет и на оценку их надежности со стороны контролирующих органов.

Следствием сложившейся ситуации является необходимость разработки и внедрения надежной программы управления применением ИТ, которая могла бы объединять преимущества новых информационных технологий с гарантированной их защитой от противоправного использования (в широком смысле - включая инсайдеров в кредитных организациях). В программах такого рода весьма полезно учитывать регулярно обновляемые материалы хорошо известных международных организаций, таких как Information Systems Audit and Control Association (ISACA). Материалы данной организации, в частности по системе COBIT (Control Objectives for Information and Related Technology), публикуются на сайте www.isaca.org. Ссылки на них, к чести ряда крупных российских кредитных организаций, действительно встречаются во внутрибанковских документах, касающихся ИТ, обеспечения информационной безопасности и внутреннего контроля. Эти и другие материалы ISACA ориентированы как раз на управление рисками, связанными с ИТ, и парирование их потенциального негативного влияния на интересы различных организаций. Как раз для этого руководству высокотехнологичных кредитных организаций следует обеспечить гарантии управляемости и контролируемости применения ИТ, АБС и СЭБ, что в полной мере относится и к содержанию корпоративного управления.

Очевидно, что если бы не было банковских рисков и не происходило бы усложнения их структуры вместе с внедрением тех или иных ИТ, не возникали бы новые источники их компонентов, имелись бы гарантии надежности банковской деятельности как таковой, то вопрос о корпоративном управлении, да и вообще о необходимости управления и контроля, не поднимался бы. Однако в реальном мире все обстоит с точностью до наоборот, и от того, насколько руководство кредитных организаций осознает необходимость в объединении стратегии развития ИТ с их общими бизнес-стратегиями, прямо зависят результаты банковской деятельности. Разнообразные компьютерные технологии давно уже перевели значительную часть банковской деятельности в виртуальное пространство, что делает неизбежными разработку и внедрение новых методов управления этими технологиями и контроля их использования (в сопоставлении с применяемыми в текущем периоде в плане их адекватности способам и условиям осуществления банковской деятельности, то есть с использованием программы и методики самооценки), без чего современная банковская деятельность априори не может быть успешной.

Л.В.Лямин

Начальник

отдела электронных

банковских технологий

Департамент банковского

регулирования и надзора

Банк России