Примеры таких организаций спорадичны и единичны, поскольку недостаток корпоративной культуры и устоявшихся бизнес-моделей, разработанных на предыдущем уровне, пока не позволяют достичь такого уровня.
5 (Оптимальность) - Процессы управления рассматриваемой деятельностью соответствуют "лучшей практике", которая основана на постоянном совершенствовании и сравнении их качества с другими организациями, а также автоматизированы. Такая организация способна к быстрой адаптации процессов при изменениях в бизнесе и условиях его ведения.
Это "идеальная" ситуация, напоминающая полностью автоматизированное производство, так что кредитной организации с такими условиями банковской деятельности "не страшно" браться за любые проекты, на которые хватит ресурсов, поскольку все внутрибанковские процессы "отлажены" и гарантируют плавную и естественную адаптацию к изменяющимся условиям ведения бизнеса. Органам же банковского надзора остается только с удовлетворением наблюдать за ее успешной деятельностью (в условиях полностью хеджированных "остаточных" или "чистых" рисков), которой не угрожает ни техническое "перевооружение" в виде внедрения новых технологий электронного банкинга, ни конкуренция, ни недостатки законодательной и нормативной базы, регламентирующей банковскую деятельность.
Интерпретировать промежуточные ситуации, располагающиеся между худшим и лучшим вариантом, относительно несложно. Оценка качества конкретной банковской деятельности в общем случае устанавливается равной среднему арифметическому уровню зрелости (они варьируются от 0 до 5) по всем составляющим этой деятельности. Преимуществом предложенной модели считается то, что ее относительно несложно использовать и руководству организации в применении к самому себе как своего рода оценочную шкалу. Самооценка такого рода позволяет понять, что именно необходимо изменить, если возникает потребность в совершенствовании функционирования организации (впрочем, и собственно необходимость этого надо еще суметь увидеть и осознать!). Отсчет начинается с нулевой оценки потому, что отсутствие каких-либо процессов вообще вполне реально, а диапазон оценок до 5 позволяет заметить различия в степени совершенства организации процессов, выделяя те характеристики, которые уже имеются (и их можно оценивать), и те, которые явно отсутствуют.
С риск-ориентированной точки зрения в области ДБО здесь можно отметить, что более уместной представлялась бы более сложная система оценивания, включающая хотя бы несколько весовых коэффициентов "значимости" (допустим, трех: высшей, средней и низшей), поскольку кредитные организации могут все-таки значительно различаться по содержанию внутрибанковских процессов в зависимости от их специфики (в том числе степени автоматизации банковской деятельности, составу и потребностям клиентуры, - юридических/физических лиц, доли VIP-клиентов, спектру предлагаемых банковских услуг и способам их предоставления, составу и квалификации персонала и т. д.). Однако, несмотря на такую целесообразность, это не считается очевидным и существенно осложняет решение рассматриваемой задачи на текущем этапе развития российского банковского дела, а поэтому остается пока что хотя и ближайшей, но все-таки перспективой.
Тем не менее можно заметить, что в современных условиях банковской деятельности процесс самооценки по тем или иным ее направлениям стал уже практически типовым для кредитных организаций, на что их ориентируют и документы, разрабатываемые Банком России. При последующем совершенствовании организации банковской деятельности руководство кредитной организации может использовать итоги самооценки для результатов адаптации внутрибанковских процессов и процедур к новым условиям ее функционирования, оценки внешнего аудитора и (или) собственной оценки соответствия тем или иным корпоративным стандартам качества банковской деятельности в качестве одного или нескольких из числа критериев, разработанных в отношении качества управления кредитными организациями, хотя в приложении к применению банковских информационных технологий это еще не считается актуальным (пример подхода органов банковского регулирования и надзора США будет приведен в параграфе 5.3).
Что касается технологий электронного банкинга, то при применении процессного подхода прежде всего следует выделить именно их специфику, которая делает желательным применение именно процессного подхода прежде всего потому, что сама она является причиной появления в содержании банковской деятельности новых процессов, ранее ей не свойственных, о чем крайне полезно иметь представление как лицам, принимающим решения относительно инноваций в банковской практике, так и тем, кто эти решения воплощает в жизнь. Любые же новые процессы, а тем более их отсутствие (если необходимость в них не осознается) могут привести к непредсказуемым результатам, которые способны в итоге обусловить неожиданную реализацию компонентов банковских рисков, что и происходит в тех случаях, когда внедрение новых компьютерных технологий типа электронного банкинга не приводит к модернизации внутрибанковских процессов. Основной причиной этого становится то, что руководство и персонал кредитной организации работают в новых условиях банковской деятельности "по старинке", а контроль над этой деятельностью становится заведомо неэффективным.
По состоянию на сегодняшний день технологии дистанционного информационного взаимодействия между участниками банковской деятельности уже достаточно многочисленны - в их число входят системы электронного банкинга, построенные на разных технологиях и протоколах, разных сетевых архитектурах и разного уровня сложности. Поэтому и "проактивный" анализ ИКБД может охватывать внутрибанковские локальные и/или зональные вычислительные сети (особенно в случае многофилиальных банков), виртуальные частные сети, схемы мобильного и беспроводного доступа к распределенным компьютерным системам, организацию так называемых "демилитаризованных зон" (DMZ) в информационных сечениях между банковскими автоматизированными системами и внешним "киберпространством", комплексы провайдеров кредитных организаций (Интернет, связи, аппаратное и программное обеспечение и др.), средства идентификации, аутентификации и верификации для клиентов и персонала, а также криптозащиты информационного обмена и т. д. Круг подлежащих изучению вопросов, как видно, достаточно обширен, и вопросы эти не из самых простых, тем более что их решение требует в общем случае квалифицированного контроля (как вообще необходимого компонента процесса ППР). При этом такой контроль предполагается, во-первых, полноценным (обеспечивающим информативность, достаточную для принятия оперативных решений), во-вторых, адекватным масштабу и сложности деятельности кредитной организации, в-третьих, своевременным в плане возможного реагирования на предполагаемые негативные события (включая также форс-мажорные ситуации).
Важным аспектом внедрения кредитной организацией, использования и развития процессного подхода в условиях применения ТЭБ является полный и адекватный (потребностям и ее обязательствам перед клиентами) учет состава ИКБД. К сожалению, практика свидетельствует о том, что руководители кредитной организации зачастую не задумываются не только о возможном влиянии его компонентов на их деятельность, но и об указанном контуре как таковом. Ситуация реально выглядит так, как будто за пределами организации, использующей ТЭБ, этого контура не существует. На самом деле виртуальность этого контура может оказать вполне реальное влияние на ее функционирование, особенно в тех случаях, когда требуется гарантировать невозможность так называемого "отказа от операции" (ситуация, кстати, типично проблематичная для таких вариантов электронного банкинга как интернет-банкинг или банкоматное и другое карточное обслуживание), или существует опасность незаметного вовлечения этой организации в противоправную деятельность. В последнем случае ее руководству целесообразно задуматься о том, каким образом ее специалисты могли бы восстановить маршрут прохождения и источник ордеров, т. е. подозрительных клиентов, а соответствующий ИКБД в случае, к примеру, интернет-банкинга как раз и отличается тем, что сделать это без специального технологического и технического оснащения (заранее, конечно, предусмотренного в соответствующей СЭБ) практически невозможно.
Таким образом, первой и наиболее важной процедурой, которую целесообразно организовать при принятии решения о переходе к тому или иному виду ДБО, можно считать изучение формирования будущего ИКБД и специфических особенностей функционирования такого контура. В число этих особенностей входят многие подлежащие рассмотрению и решению вопросы, начиная с надежности разнообразного аппаратно-программного обеспечения, продолжая известной взаимной анонимностью агентов ДБО и заканчивая формированием запасных вариантов (маршрутов) ДБО, включая многочисленные организационно-технические аспекты поддержки его функционирования (с учетом систем различных провайдеров), что усложняет задачу "проактивного" анализа. Отсутствие соответствующих технологических схем не позволит кредитной организации перевести внутрибанковские процессы выше уровня 2, а значит, уровни компонентов банковских рисков фактически останутся неприемлемо высокими, но "скрытыми" от УБР.
Не менее важным аспектом процессного подхода является обеспечение надежности функционирования кредитных организаций в части их отношений с провайдерами. К сожалению, пока еще нельзя сказать, что руководители этих организаций полностью осознают сами факты зависимости их деловой активности от провайдеров и, как следствие, зависимости от них интересов клиентов ДБО. Проблема в основном заключается в том, что специфика аутсорсинга как такового, в чем бы он ни заключался (будь это связь, процессинг, клиринг, хранение резервных массивов банковских данных и т. д.), не осознается полностью ни самими кредитными организациями, ни их клиентами. Вследствие этого кредитная организация зачастую практически не отвечает перед клиентом за проблемы, которые в условиях ДБО могут оказаться обусловленными ее провайдером. В свою очередь клиенты, как правило, не задумываются о том, с какими претензиями они придут в эту организацию в том случае, если из-за неполадок в компьютерных системах провайдеров, предоставляемых ими каналах (линиях) связи и т. п., пропадут или будут искажены либо скомпрометированы их данные (содержание ордеров или результаты операций). В то же время сам факт появления в ИКБД систем провайдеров предполагает наличие особого внимания к содержанию договоров между кредитной организацией и провайдером и между нею и клиентом ДБО с таким распределением ответственности, которое как минимум гарантировало бы отсутствие ущерба интересам клиента в случае, к примеру, возникновения форсмажорных обстоятельств или минимизировало его. Наличие такого внимания предполагает и организацию соответствующего обеспечивающего бизнес-процесса в кредитной организации (в котором участвует и клиентура ДБО со свойственными ей компонентами стратегического, правового и репутационного рисков).
Мало того, в последнее время внимание зарубежных органов банковского регулирования и надзора привлекла проблема так называемого "офшоринга". "Говоря по-русски", офшоринг - это трансграничный аутсорсинг процессинга. Речь идет о ситуации, когда провайдер, осуществляющий, допустим, обработку и хранение банковских данных для кредитной организации (т. е. реализующий соответствующие функции, переданные на аутсорсинг), не является резидентом. БКБН в этой связи считает, что "органы банковского надзора страны резидента должны быть уверены в том, что данный банк в самом деле имеет возможности доступа к критично важным для него данным или информации и контролирует их, что необходимо для адекватного управления деятельностью в области электронного банкинга". Кредитная организация в свою очередь должна предоставить контролирующему органу необходимые гарантии того, что эта ситуация реально имеет место, и их подтверждение (обеспечение).
На самом деле в ситуации трансграничного банковского обслуживания или аутсорсинга процедур (как компонентов процессов) значительно больше: часть из них связана с обеспечением "гарантированного" доверия самой кредитной организации к провайдеру, надежности и защищенности его автоматизированных систем, обеспечению им информационной безопасности, в том числе защищенности от возможных внешних атак на кредитную организацию через распределенную компьютерную систему провайдера и ИКБД, в который он входит. Другая часть связана с доверием со стороны клиента к такой организации, которая использует аутсорсинг процессинга, к тому же трансграничный. Естественно, обеспечение конфиденциальности сведений о банковских данных, принадлежащих на самом деле клиенту, и об операциях с этими данными должно, по идее, гарантироваться обслуживающей его кредитной организацией, которая в свою очередь сама должна иметь необходимые гарантии, к тому же с учетом требований Федерального закона от 27 июля 2006 г. № 152- ФЗ "О персональных данных". А для этого службы ИТ, внутреннего контроля и обеспечения информационной безопасности кредитной организации (как минимум) должны иметь возможности контролировать ситуацию у провайдеров, обеспечивая тем самым защиту интересов кредитной организации и опосредованно ее клиентов. Такие требования характерны для банковского законодательства ряда стран, к примеру Германии, но в российских условиях правовые основания в отсутствие полноценного регулирования деятельности провайдеров кредитных организаций остаются сомнительными.
Приведенный перечень дополнительных процедур может быть продолжен специалистами самих кредитных организаций в зависимости от того, какие именно внутрибанковские процессы имеют отношение к применению ТЭБ. Главное заключается в том, что рассматриваемый подход должен приводить к созданию в кредитной организации такой совокупности внутрибанковских процессов и такого их административного и организационно-технического обеспечения, которые будут работоспособны и эффективны вне зависимости от тех конкретных технологий электронного банкинга, которые уже используются в ней или которые предполагается внедрять. Этот своего рода "шаблон деятельности" в форме одного из глобальных для кредитной организации процессов превращается тем самым в своеобразный корпоративный стандарт, который гарантирует адекватность принятия решений целям организации и получения результатов независимо от особенной отдельных технологий такого рода. Для ее персонала это будет означать, что каждый сотрудник на своем однозначно определенном месте в точно определенные отрезки времени будет выполнять заданные необходимые функции полно, четко и ответственно. В результате в кредитной организации формируется полнофункциональная и "устойчивая к инновациям" система управления внесением изменений в бизнес-процессы и их контроля, отвечающая потребностям организации и ее клиентов, обеспечивающая тем самым соответствующие конкурентные преимущества.
По результатам проведенного анализа далее в кредитной организации разрабатываются распорядительные документы, положения и порядки, которые предназначены для реализации процессного подхода и в которых описываются также организационные и информационные взаимосвязи между процессами. Тем самым обеспечиваются возможности для реализации принципов эффективного корпоративного управления, которое вместе с управленческим наблюдением (контролем) относится к процессам высшего уровня в кредитной организации. С риск-ориентированных позиций ошибки в определении содержания внутрибанковских процессов этого уровня могут стать основными причинами возникновения источников тех компонентов банковских рисков, которым подвергаются кредитные организации даже независимо от степени квалификации и усилий их исполнительского персонала. При этом особенностью формирования этих процессов на текущем этапе становится необходимость учета всех факторов, действующих в ИКБД, в силу их множественности и разнообразия.
С тех же позиций при проведении анализа желательно учитывать все внутрисистемные информационно-финансовые связи, от которых явно зависит эффективность экономического функционирования клиентов кредитной организации, включая гарантии целостности и защищенности клиентской информации. Во многих случаях такие зависимости образуются "в рабочем порядке", как это обычно бывает при внедрении той или иной инновационной технологии, и, скорее всего, они априори неизвестны руководству кредитной организации (во всяком случае полностью). Поэтому и становится важен комплексный анализ ИКБД в интересах как определения новых внутрибанковских процессов, так и адаптации уже существующих. Недостаточное осознание указанной специфики может быстро привести к возникновению проблем у кредитной организации в случаях, например, массового дистанционного обслуживания с применением так называемой "сквозной обработки" (straight-through processing) при необходимости выявления "на лету" операций, подлежащих обязательному контролю ("подозрительных" или "сомнительных"), фиксации сопутствующей сеансовой информации и т. п.