Управление операционным риском

     Этапами анализа информационных рисков являются:

     • классификация информационных ресурсов по критериям безопасности;

     • оценка стоимости ресурсов;

     • анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;

     • определение перечня возможных  атак на объект защиты и механизмов их реализации;

     • оценивание возможного ущерба и последствий  реализации угроз;

     • формирование перечня, классификация  и определение характеристик  информационных рисков, оценка эффективности  существующих методов управления рисками;

     • выработка предложений по управлению рисками с помощью организационных, административных и технических  мер и средств защиты информации.

     Результат выполнения:

     • отчет с описанием реальных угроз  безопасности информации и уязвимостей  системы, а также расчетом всех возможных  информационных рисков банка и прогнозом  их реализации.

     • результаты анализа и оценки используются при выборе адекватных оптимальных  методов парирования угроз, а  также для составления бюджета  дальнейших работ по защите информации и построения системы парирования  угроз, адекватной самим угрозам.

     Оценка  информационных рисков.

     Развитие  ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.

     Точно определить возможный ущерб от большинства  информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.

     Обозначим основные статьи расходов, которые  несет банк в процессе создания и  эксплуатации системы риск-менеджмента.

     1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.

     2. Подбор, приобретение и внедрение  программного обеспечения (ПО).

     3. Регламентирование бизнес-процессов. 

     4. Поддержание технологии в актуальном  состоянии. 

     5. Ведение данных.

     6. Сопровождение ПО.

     Все эти затраты могут быть оценены  количественно — в денежном выражении  или в трудозатратах.

     Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.

     Разработка  и реализация политики по минимизации  информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила  неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому  работа по обеспечению IT-безопасности должна быть комплексной и продуманной .

     Страхование рисков как элемент управления.

     В качестве одного из основных экономических  методов управления информационными  рисками, предлагается "создание системы  страхования информационных рисков физических и юридических лиц" [2]. Страхование как таковое не снижает риски, однако уменьшает  финансовые потери страхователя при  наступлении страхового случая. Несмотря на то что эта эффективнейшая система  управления информационными рисками  юридически декларирована в России довольно давно, рынок услуг страхования  на сегодняшней день еще не сформировался - в основном из-за отсутствия хорошо зарекомендовавших себя методов  оценки их стоимости.

     Как в мировой, так и в российской практике непосредственно информация страхуется в размере расходов, необходимых  для ее восстановления. При таком  подходе страховая компания возмещает  расходы на оплату сверхурочной работы сотрудников банка, привлечение  специалистов сторонних организаций, а также другие целесообразные расходы, направленные на восстановление утраченной информации. Но страхование информационных рисков не может сводиться только к страхованию информации. Должны страховаться вообще риски, связанные  с информационными технологиями, а к ним относятся риски  утраты финансовых активов, риски остановки  коммерческой деятельности, риски, связанные  с возникновением гражданской ответственности. Прежде всего это страхование  от преступлений в сфере информационных технологий: действий компьютерных вирусов, несанкционированного доступа к  информации, кражи или непреднамеренной утраты носителей информации, финансового  мошенничества с использованием информационных технологий. Объектами  страхования в этом случае могут  быть:

     финансовые  активы в электронной форме, в  том числе в системах клиент-банк;

     - биллинговые системы; 

     - центры сертификации (удостоверяющие  центры);

     - Web-серверы, в том числе виртуальные; 

     - ERP-системы и средства защиты;

     - базы данных на любых носителях  информации;

     - ценная информация, для которой  существует вероятность утраты  без возможности восстановления.

     Информационные  риски выступают объектом страхования  имущественных интересов юридических  и физических лиц, связанных с  владением, распространением, пользованием и распоряжением информацией. Это может быть как имущественное страхование (связанное с владением, пользованием, распоряжением информацией как объектом гражданских прав), так и страхование ответственности (связанной с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу). Например, возможно страхование ответственности, возникающей в связи с перерывами в деятельности банка; плохой технической поддержкой клиентов (убытки клиентов в виде неполученной прибыли по причине нарушений в каналах связи); недостаточными мерами по защите данных, принадлежащих третьим лицам; непреднамеренным разглашением конфиденциальной информации; ошибками в программных продуктах, вследствие которых наносится ущерб пользователям.

     Страхование предполагает последовательное выполнение нескольких обязательных шагов:

• поиск страховой компании;
• согласование условий и предложений по страхованию;
• проведение экспертизы страхователя;
• выполнение рекомендаций, полученных в результате экспертизы;
• подписание договора о страховании.

 

      3.2 Рекомендации по организации управления операционным риском в ОАО "АКИБАНК"

    Одна из самых ярких современных тенденций в банковском деле переход к электронному способу ведения бизнеса, кардинальным образом изменяющему соотношение между различными видами риска, с которыми сталкиваются банки .

     Подводя итоги вышеизложенного, можно отметить следующие основные черты, присущие сфере электронных банковских услуг  и оказывающие важное влияние на соотношение отдельных категорий банковского риска:

     - выход за пределы отдельных  стран и за пределы финансового  сектора в целом, требующий  сотрудничества учреждений банковского  надзора с надзорными органами  других стран и отраслей;

     - сильная зависимость от прогресса  информационных и коммуникационных  технологий, что приводит к резкому  увеличению стратегических и  операционных рисков;

     - динамичность развития, отражающаяся  в сокращении инновационных циклов (с точки зрения как финансовых  инструментов, так и банковских  технологий) и, следовательно, в  повышении значения стратегического  риска; 

     - рост ориентированности на клиентов  в связи с уменьшением информационных  асимметрий (неравномерности распределения  информации между банками и  клиентами), что ведет к увеличению  правового и репутационного рисков;

     - обострение конкуренции в банковском  бизнесе, влекущее за собой повышение общего уровня системного риска.

     Рекомендации  по управлению информационными рисками. Корректируя корпоративную политику информационной безопасности и оптимизируя архитектуру информационной системы банка с точки зрения повышения защищенности информационной системы, внедрение рекомендаций позволяет повысить эффективность системы управления ИБ и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.

     Рекомендации  по контролю за текущим уровнем риска. Осуществляя контроль за выполнением  мер и требований по обеспечению  информационной безопасности, а также  уровнем информационного риска  критически важных компонентов системы, внедрение рекомендаций обеспечивает не только соблюдение минимального уровня информационных рисков, но и помогает оценить эффективность мероприятий  по защите информации.

     Кредитным организациям рекомендуется на регулярной основе пересматривать существующие внутренние процессы и процедуры, используемые информационно-технологические системы с целью выявления не учтенных ранее источников операционного риска.

     Кредитным организациям рекомендуется уделять  особое внимание обеспечению сохранности  и возможности восстановления информационных систем и ресурсов. Помещение для  установки резервного оборудования или оборудования, на которое должно производиться резервное копирование  информации, рекомендуется выбирать так, чтобы минимизировать риск одновременной  утраты первичной и резервной  копии данных или одновременного выхода из строя основного и резервного оборудования.

     Кредитным организациям рекомендуется наряду с ведением аналитической базы данных о понесенных операционных убытках  на постоянной основе с использованием различных источников собирать и  анализировать информацию о случаях  операционных убытков в других кредитных  и финансовых организациях.

     Кредитным организациям рекомендуется регулярно  производить оценку операционного  риска в целом по кредитной  организации и его распределения  в разрезе направлений деятельности кредитной организации, внутренних процессов, информационно-технологических  систем и банковских продуктов, составляющих эти направления деятельности.

     Кредитной организации рекомендуется определять периодичность осуществления мониторинга  операционного риска на основе его  существенности для соответствующего направления деятельности, внутреннего  процесса или информационно-технологической  системы.

     В качестве индикаторов уровня операционного  риска могут быть использованы сведения о количестве несостоявшихся или  незавершенных банковских операций и других сделок, увеличении их частоты  и (или) объемов, текучести кадров, частоте  допускаемых ошибок и нарушений, времени (продолжительности) простоя  информационно-технологических систем и других показателях.

     Контроль над уровнем рисков в Отделе должен быть направлен на ограничение рисков, принимаемых банком, и на обеспечение порядка проведения операций и сделок, который способствует достижению установленных банком целей и задач, при соблюдении требований законодательства, нормативных актов Банка России, стандартов профессиональной деятельности и правил деловых обычаев.

     Как показывает опыт многих иностранных банков, наиболее успешные стратегии предупреждения информационных и телекоммуникационных рисков (IT-рисков) базируются на трех основных правилах.

     Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

     Правило № 2. Банк должен контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

     Правило № 3. Информационные системы, от которых  напрямую зависит деятельность банка (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в  случае кризисной ситуации [12].