Банковское обозрение

Финансовая сфера

  • Немецкие банки недооценивают BAIT
26.06.2019 Best-practice
Немецкие банки недооценивают BAIT

ЕЦБ планирует усилить регулирование IT


Штефан Зам
Старший менеджер zeb, офис Франкфурт
Йозеф Шёнбергер
Старший менеджер zeb, офис Мюнстер
Карл Филипп Мюллер
Менеджер zeb, офис Гамбург
Патрик Пихулик
Старший консультант zeb, офис Мюнстер
Никлас Шварцер
Старший консультант zeb, офис Франкфурт

В ноябре 2017 года вступили в силу разработанные Федеральным управлением финансового надзора Германии (BaFin) Требования банковского надзора в сфере IT (BAIT)1. В мае 2018 года схожие требования опубликовало Управление по делам финансового рынка Австрии (FMA)2. А Европейский центральный банк (ECB) планирует разработать на основе BAIT единые для всех стран Еврозоны требования3. Банки поддержали внедрение обновленных требований, но не прикладывают достаточно усилий для их внедрения. Проанализируем, почему так происходит

Формальное соответствие требованиям

Требования BAIT разделены на восемь групп и затрагивают разные уровни IT-системы банка — от IT-стратегии до IT-процессов (структура требований представлена на рис. 1).

 

Рисунок 1. Требования BAIT, а также оценка критичности и необходимости их внедрения

Требования BAIT, а также оценка критичности и необходимости их внедрения

BAIT отличается от действующей пятой редакции Минимальных требований к управлению рисками (MaRisk)4 и вносит изменения в части систем управления IT-рисками, особенно в области контроля (необходимые меры для отдельных групп требований показаны на рис. 2).

 

Рисунок 2. Необходимые меры для отдельных групп требований

Необходимые меры для отдельных групп требований

Банки, хоть и декларируют свою приверженность новым требованиям, однако, по нашим наблюдениям, прикладывают недостаточные усилия для их внедрения. В большинстве случаев они лишь устраняют очевидные недочеты для формального соответствия требованиям. Возможно, это связано с тем, что BAIT не содержит новых требований, а лишь уточняет действующие нормы.

Отметим, что нельзя рассматривать позицию BaFin, представленную в BAIT, как единственно правильную. Так, BAIT конкретизирует существующие требования к IT-системам банков, содержащиеся в MaRisk и в параграфах 25a, 25b Закона о кредитовании (KWG)5 и описывает ожидания надзорных органов относительно поведения банков. При этом обновленный подход менее гибок, чем действовавший раньше, и не позволяет по-разному трактовать требования в зависимости от ситуации.

Нужно учитывать цели ORG/IT

Если воспринимать BAIT просто как набор требований, которые нужно формально соблюдать, то такой подход не будет способствовать достижению стратегических целей ORG/IT.

Полагаем, что внедрение BAIT должно быть согласовано со стратегическими целями ORG/IT и актуальным портфелем проектов. Рассмотрим три примера, подтверждающих этот тезис.

1. IT-системы банков сталкиваются с растущей угрозой. С одной стороны, возрастает число кибератак. С другой стороны, регуляторные требования, например PSD II6, обязывают банки предоставлять сторонним провайдерам доступ к IT-системам, что потенциально подвергает банки еще большей опасности . В указанной ситуации важно внедрять специальные механизмы для защиты системы ORG/IT. Такие механизмы содержатся в BAIT — например, требования по разработке руководства по информационной безопасности и утверждению должности ответственного за информационную безопасность. Важно отметить, что информационная безопасность должна быть неотъемлемой частью IT-системы банков, а не дополнительным инструментом. В таком случае можно поддерживать необходимый уровень защиты и выполнять регуляторные требования, не препятствуя достижению целей ORG/IT.

2. В рамках цифровизации банки зачастую стремятся к полной или частичной автоматизации сквозных (end-to-end) процессов (например, предоставления кредитов). Таким образом, исчезает необходимость использования отдельных вычислительных сред конечных пользователей (end-user computing, EUC) и осуществления трудоемкой деятельности по их разработке, тестированию и документированию. Сокращаются издержки по документированию и обслуживанию EUC-регистра, который в зависимости от размера банка может содержать сотни и тысячи элементов. Кроме того, внедрение EUC-решений в рамках ORG/IT становится более оперативным.

3. Эффективная система ORG/IT позволяет сократить время выхода на рынок (time-to-market), быстро адаптироваться или реагировать с опережением на изменения ситуации. Этому, однако, препятствует возросшее число требований. Требования BAIT увеличивают издержки, связанные с управлением и документированием IT-проектов, что приводит к более медленному внедрению инновационных решений. Для разрешения данного противоречия банкам необходимо оптимизировать процесс управления портфелем IT-проектов для достижения целей в части текущей деятельности (run the bank), ее модернизации (change the bank), а также для соответствия регуляторным требованиям. Модели управления портфелем IT-проектов, как правило, согласованы со стратегией банка по внедрению инноваций и поэтому не препятствуют ее целям. Оперативное тестирование инновационных решений, соответствующих запросам рынка, не всегда возможно в условиях новых регуляторных требований.

Требования к ORG/IT возрастают

Для соответствия требованиям национальных и международных надзорных органов банки должны закрепить элементы BAIT в своей политике.

Надзорные органы обращают все большее внимание на регулирование сферы ORG/IT. Так, опубликованные BaFin в мае 2018 года Основные направления в области надзора отмечают в числе важных тем совершенствование регулирования ORG/IT (см. BaFin 2018b). В частности, BaFin планирует дополнить BAIT положениями о кибербезопасности и критической инфраструктуре (см. BaFin 2018a).

После внедрения требований ЕЦБ, основанных на BAIT, с большой вероятностью банки Еврозоны столкнутся с более жестким контролем соответствия требованиям. Так, опыт прошлых лет показывает тенденцию к ужесточению регулирования после адаптации и внедрения национальных норм на общеевропейском уровне. Такая ситуация возникала, например, в случае с Asset Quality Review7 и Targeted Review of Internal Models8.

IT в эпоху возрастающего регулирования

В связи с тем, что BAIT затрагивает большой круг вопросов (см. рис. 1), банкам целесообразно прорабатывать отдельные группы требований BAIT в контексте ORG/IT. Изменения, не учитывающие особенности систем ORG/I, в краткосрочном периоде обеспечат соответствие требованиям BAIT и решение наиболее очевидных проблем. Однако в долгосрочной перспективе такой подход усложнит адаптацию к выполнению новых требований (например, будущих требований ЕЦБ) и не будет соответствовать стратегическим целям ORG/IT банка.

После внедрения требований ЕЦБ, основанных на BAIT, с большой вероятностью банки Еврозоны столкнутся с более жестким контролем соответствия требованиям. Так, опыт прошлых лет показывает тенденцию ужесточения регулирования после адаптации и внедрения национальных норм на общеевропейском уровне. Поэтому для банков очень важно согласовать внедрение BAIT со стратегическими целями ORG/IT и актуальным портфелем проектов.

СПРАВКА
zeb — немецкая консалтинговая компания, которая специализируется на консультировании банков, страховых компаний, национальных регуляторов и других финансовых институтов. Компания предоставляет консультационные услуги по стратегии и операциям, финансам и рискам, а также по IT и управлениию персоналом. Офисы компании находятся в Германии, Австрии, Швейцарии, Голландии, Англии, Италии, Швеции, Дании, Лихтенштейне, Польше, Украине и России.

1. https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html.
2. https://www.fma.gv.at/download.php?d=3370.
3. Согласно Рабочему плану EBA и актуальным данным Börsen-Zeitung, ЕЦБ и Европейская служба банковского надзора (EBA) рассматривают BAIT как основу для разработки аналогичного регулирования для всей еврозоны (см. EBA 2018, Börsen-Zeitung 2018).
4. https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html;jsessionid=510E9858FDD3AE6F5F31F7C74759AC97.2_cid372?nn=9866146.
5. https://www.bafin.de/SharedDocs/Downloads/EN/Aufsichtsrecht/dl_kwg_en.html.
6. https://eur-lex.europa.eu/summary/EN/URISERV:l33226.
7. https://www.bankingsupervision.europa.eu/press/pr/date/2018/html/ssm.pr180620.en.html.
8. https://www.bankingsupervision.europa.eu/ecb/pub/pdf/trim_guide.en.pdf.