Принцип 2. Высшее руководство должно нести ответственность за реализацию стратегии и политики, утвержденных советом директоров, разработку процессов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком, поддержание организационной структуры, обеспечивающей четкое распределение ответственности, полномочий и подотчетности, гарантирование эффективного выполнения делегированных полномочий, внедрения надлежащей политики внутреннего контроля, а также мониторинг адекватности и эффективности системы внутреннего контроля.
В комментариях к этому принципу постулируется, что высшее руководство кредитной организации несет ответственность за выполнение директив совета директоров, включая реализацию стратегии и политики, а также за организацию эффективной СВК. Вместе с тем указывается, что «члены высшего руководства обычно делегируют ответственность за внедрение специальной политики и процедур ВК, связанных со специфической деятельности тех или иных подразделений банка, на руководителей этих подразделений, при сохранении наблюдения над ними». Здесь заложено (и далее просматривается практически во всех остальных принципах) коренное отличие от подхода к организации ВК в отечественных кредитных организациях, а именно «распределение» функций ВК практически по всему персоналу кредитной организации вместо формирования в ней специализированного подразделения В К, подчиняющегося непосредственно высшему руководству и являющегося ядром СВК[161].
В то же время, поскольку применение ТЭБ затрагивает работу нескольких структурных подразделений кредитной организации, логично использовать аналогичное предложенному БКБН распределение функций ВК. Чтобы процесс ВК автоматизированной и распределенной через ИКБД банковской деятельности охватывал все внутрибанковские процессы, процедуры и функции, выполняемые кредитной организацией, наряду с внутренними и внешними взаимосвязями, служба ВК должна располагать возможностями, механизмами и средствами адекватного информационно-аналитического обеспечения своей деятельности. Следствием этого становится гарантированно полное и своевременное информационное обеспечение руководства организации, без которого невозможно принятие правильных решений в отношении выявления, анализа, мониторинга источников компонентов банковских рисков и управления ими. Поэтому, учитывая ролевую функцию службы ВК в процессе ППР, логично рассматривать эту службу как некий информационно-аналитический центр, оснащенный «датчиками», расположенными в других подразделениях кредитной организации, имеющих отношение к осуществлению и обеспечению ДБО. При этом структура СВК может быть условно представлена схемой на рис. 5.7.
Здесь СВК интерпретирована как служба ВК с элементами ВК, внедренными в функциональные процессы других структурных подразделений кредитной организации.
Все перечисленные во втором принципе меры должны быть документированы, и важность этого подчеркивается в Рекомендациях, равно как и значимость доведения политики кредитной организации и описаний организованных в ней процессов и процедур до ее персонала, что важно для иерархии полномочий и подотчетности. При этом обращается внимание на то, что «…распределение обязанностей и ответственности должно быть таким, чтобы гарантировалась непрерывность подотчетности и чтобы эффективный управленческий контроль распространялся на все уровни банка и виды его деятельности». Надо заметить, что для охвата всего ИКБД документарное обеспечение должно быть весьма развитым, для высшего руководства это означает также и развитый внутрибанковский механизм, с помощью которого будет осуществляться управленческое наблюдение — решение о его создании требует коллегиального принятия и реализации.
Принцип 3. Совет директоров и высшее руководство отвечают за поддержание высоких стандартов этики и честности, а также за внедрение такой культуры в организации, которая подчеркивала бы и демонстрировала бы важность внутреннего контроля для персонала всех ее уровней. Все сотрудники банковской организации должны понимать свою роль в процессе внутреннего контроля и быть полностью вовлечены в этот процесс.
В условиях электронного банкинга поддержание стандартов, о которых говорится в третьем принципе, становится непростой задачей, во-первых, из-за специфики информационного взаимодействия между кредитной организацией и ее клиентами через киберпространство, во-вторых, из-за возможности НСД, как говорят, к «чувствительной» клиентской информации, мошеннических действий, хищений финансовых средств и скрытого осуществления «сомнительных» финансовых операций. Поскольку проявление «человеческого фактора» предвидеть крайне трудно, руководству высокотехнологичной кредитной организации лучше не уповать на честность, а позаботиться о максимально широком соответствии банковской деятельности и условий использования каждой СЭБ принципу «четырех глаз». Не менее важна разработка полноценных программ ВК (особенно в части аудита ИТ), охватывающих все каналы ДБО, информационные сечения между автоматизированными системами, сетевые кабельные подключения и автоматизированные рабочие места персонала (прежде всего те, которые предназначены для выполнения функции администрирования информационно-процессинговых ресурсов организации).
Акцент на этом целесообразно сделать в положениях о СБ и о службе ВК, а также отразить соответствующий подход в «Положении о системе внутреннего контроля» кредитной организации, «Положении об управлении банковскими рисками» и «Политике обеспечения информационной безопасности». Надо подчеркнуть, что внедрение каждой новой ТЭБ и реализующей ее СЭБ, даже если такие системы однородны (как, например, системы интернет-банкинга для юридических и физических лиц), должно бы сопровождаться проявлениями мета-процесса в отношении упомянутых документов и процедур в составе соответствующих внутрибанковских процессов. Впрочем, сказанное здесь не исключает пропагандирование моральных и этических корпоративных ценностей, только в условиях применения ТЭБ его лучше строить таким образом, чтобы не натолкнуть кого-либо из ответственных исполнителей на мысль об использовании возможностей виртуального пространства в личных целях, отличающихся от корпоративных.
Принцип 4. Чтобы система внутреннего контроля была эффективной, требуется распознавать и постоянно оценивать материальные риски, которые могут негативно повлиять на достижение целей банка. Это оценивание должно охватывать все риски, с которыми сталкивается банк и консолидированная банковская организация (а именно, кредитный риск, страновой и трансферный риск, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и репутационный риск). Может потребоваться пересмотр средств внутреннего контроля в интересах правильного реагирования на новые или ранее неконтролируемые риски.
В комментариях к этому принципу говорится следующее: «Банки заняты бизнесом, связанным с принятием рисков. Поэтому принципиально важно, чтобы в рамках системы внутреннего контроля эти риски распознавались и оценивались на постоянной основе. С позиций внутреннего контроля при выявлении рисков должны идентифицироваться и оцениваться внутренние и внешние факторы, которые могут негативно повлиять на достижение функциональных, информационных и правовых целей банковской организации». В этом принципе намечено нечто более конкретное сравнительно с предыдущими — эффективность включает выявление, распознавание + непрерывное оценивание всех материальных рисков, без чего эффективность не может быть достигнута (приведенный состав банковских рисков отличен от предложенных в книге).
Указывается также, что «эффективное выявление рисков предполагает идентификацию и изучение внутренних факторов (таких как сложность организационной структуры, характер банковской деятельности, качественный состав персонала, организационные изменения и текучка кадров), равно как и внешних факторов (таких как вариации финансовых условий, изменения в данной сфере и технологические усовершенствования), которые способны негативно повлиять на достижение банком своих целей». При этом выявление риска следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе — в случае многофилиальных организаций (о чем дополнительно будет сказано в параграфе 5.6). Остальное содержание этого принципа, по существу, уже было прокомментировано в параграфе 5.2.
Принцип 5. Работа по осуществлению контроля должна входить в повседневную деятельность банка. Чтобы система внутреннего контроля была эффективной, требуется должная структура контроля с определением контрольных мероприятия для каждого уровня бизнеса. В их число следует включить проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.