Диплом на тему Управление операционным риском
Работа добавлена на сайт bukvasha.net: 2015-05-31Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
Содержание
Введение
1.Банковские риски, роль и место риска использования информационных и телекоммуникационных систем в кредитных организациях РФ
1.1 Понятие и сущность операционного риска
1.2 Управление банковскими рисками
2. Оценка и анализ рисков использования информационных и телекоммуникационных систем в ОАО "АКИБАНК"
2.1 Общая характеристика ОАО "АКИБАНК"
2.2 Анализ управления рисками в ОАО "АКИБАНК"
3. Регулирование информационных и телекоммуникационных рисков в системе управления операционным риском кредитных организаций
3.1. Методика управления рисками, связанными с использованием информационных и телекоммуникационных систем
3.2. Рекомендации по организации управления операционным риском
в ОАО "АКИБАНК"
Заключение
Список использованной литературы
Введение
Наблюдаемое в последние годы быстрое развитие научно-технического прогресса в области компьютерных и телекоммуникационных систем ставит перед кредитными организациями новые задачи в области развития информационных технологий, обеспечения их надежности и безопасности. Это обусловлено, в первую очередь, стремлением кредитных организаций удовлетворить потребности клиентов, возникающие с развитием их бизнеса, в особенности, переходящего национальные границы и требующего осуществления широкого спектра банковских операций с использованием информационных систем. Проведение операций с использованием компьютерных технологий позволяет кредитным организациям создавать наиболее благоприятные условия для привлечения новых клиентов и поддерживать конкурентные преимущества для уже существующей клиентской базы. Развитие информационных систем позволяет кредитным организациям проводить операции как в интересах самого банка, так и клиентов [14].
В настоящее время кредитные организации экономически развитых стран осуществляют широкий спектр банковских операций с использованием информационных технологий. Возникающий при этом операционный риск - это одна из новых проблем, с которой столкнулась банковская система не только Российской Федерации, но и развитых стран. В условиях современных финансовых рынков управление операционным риском становится важным элементом надежности [31].
Актуальность темы исследования заключается в том, что регулирование риска использования информационных и телекоммуникационных систем в настоящее время становится одним из важнейших факторов обеспечения стабильности банковской системы Российской Федерации. Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.
Цель работы состоит в изучении теоретических и методологических основ регулирования информационных и телекоммуникационных рисков, их оценка, а также разработке рекомендаций для минимизации отрицательного влияния операционных рисков на результаты деятельности ОАО "АКИБАНК". Реализация поставленных целей предполагает решение следующих основных задач:
- исследовать экономическую сущность риска, соотношение с родственными категориями ("опасность", "безопасность"), выявить принципиальное значение безопасности как цели управления риском с позиций системного и нормативного подходов;
- изучить практику обеспечения безопасности информационных и телекоммуникационных систем кредитных организаций и определить направления ее возможного применения;
- исследовать методологические подходы к идентификации, определению и контролю за операционным риском, выявить недостатки и дать рекомендации по дальнейшему совершенствованию;
- определить основные направления регулирования операционного риска;
- обосновать необходимость регулирования операционного риска в целях реализации задач по поддержанию стабильности банковской системы;
- провести детальный анализ методов и инструментов управления информационным и телекоммуникационным риском применительно к деятельности кредитной организации и контролирующих органов, рассмотреть их особенности в условиях;
- разработать методику организации контроля за состоянием риска информационных и телекоммуникационных систем в кредитной организации.
Объект и предмет исследования. Объектом исследования является ОАО "АКИБАНК". Предметом исследования являются экономические и организационные отношения, возникающие в процессе регулирования риска использования информационных и телекоммуникационных систем кредитными организациями.
В экономически и промышленно развитых странах теория и практика определения, ведения и управления операционным риском, регулирования со стороны контролирующих органов имеет сравнительно молодую историю. В нашей стране инструменты регулирования операционного риска в настоящее время не разработаны. Однако, существуют рекомендации Базельского Комитета по надзору за банковской деятельностью, в которых обобщён опыт международной банковской практики по определению, ведению и контролю за операционным риском [17].
Методологической основой исследования являются труды отечественных и зарубежных экономистов, посвященные теории и практике банковского дела, а также общеэкономическим проблемам. В процессе исследования использовался монографический и статистический материал, отдельные разработки международных финансовых организаций (в том числе, Базельского комитета по банковскому надзору и регулированию), материалы периодической печати, законодательные акты РФ и нормативные документы Банка России. В основе исследования лежит диалектический метод, предполагающий изучение экономических явлений в их постоянном развитии и взаимосвязи. Применяются и такие методы исследования как сравнительный, логический и системный анализ, сопоставление, обобщение, синтез и другие методы познания сущности явлений.
Изучению аспектов банковского операционного риска посвящены труды видных экономистов и специалистов банковского дела: Антиповой ОН.; Геращенко В.В., Котелкина СВ., Красавиной Л.Н., Лаврушина О.И., Пискулова Д. Ю., Роуза П.С, Савинской Н.А., Севрук ВТ., Симановского А. Ю., Соколинской М.Э., Коха Т., Синки Дж. Ф., Тосуняна Г.А. и др. В тоже время комплексное изучение проблем идентификации, анализа и регулирования риска использования информационных и телекоммуникационных систем в кредитных организациях, его роли в обеспечении стабильности банковской системы в условиях Российской Федерации до сих пор отсутствует.
Всё вышеперечисленное свидетельствует о необходимости теоретического осмысления экономической сущности риска использования информационных и телекоммуникационных систем в кредитных организациях и факторов его определяющих; обобщения имеющегося практического опыта и разработки методологических рекомендаций по управлению и контролю данного вида риска и определяет актуальность избранной темы исследования.
1. Банковские риски, роль и место риска использования информационных и телекоммуникационных систем в кредитных организациях РФ
1.1. Понятие и сущность риска в кредитных организациях.
Несмотря на частую употребляемость термина "риск" в обыденной жизни и науке, универсальное определение до настоящего момента отсутствует, что не позволяет проводить изучение явлений или процессов, не выделив предмета исследования. В данном параграфе сделана попытка систематизировать существующие трактовки риска в кредитных организациях, указать взаимосвязь с родственными категориями и систематизировать данные для классификации рисков [7].
Происхождение термина "риск" в настоящее время определить затруднительно, в Западной Европе оно начинает встречается в средневековых источниках, в основном, связанных с мореплаванием. Новолатинское "risicum" вошло в употребление с конца XV века, при этом в литературе появляется позже: в толковых словарях примеры в области риска относятся к середине XVI века в Англии. В современной терминологии интерпретация будет звучать как вероятность ущерба, а понимание проблемы риска - как нахождение способа избежать ошибок при принятии решений, предполагающих генезис ущерба. В данном случае понятие "риск" рассматривается как возможность наступления нежелательного события и/или количественной меры такого события, является преобладающей в науке. Риск вычисляется способом перемножения вероятности события на ущерб. Такого подхода придерживается большинство отечественных специалистов по анализу природного и техногенного риска. При этом, осознание того, что риск есть мера опасности — важнейший шаг в решении проблемы управления ситуацией, в которой наличествуют потенциальные факторы, способные неблагоприятно воздействовать на человека, общество и природу [21].
Общее определение риска дает Федеральный закон "О техническом регулировании" [2]. Здесь риск рассматривается как некоторая вероятностная категория, ассоциированная с понятием вреда и соответственно с возникающими финансовыми потерями.
Одна из самых ярких современных тенденций в банковском деле — переход к электронному способу ведения бизнеса, кардинальным образом изменяющему соотношение между различными видами риска, с которыми сталкиваются банки. Среди таких особенно выделяется риск использования информационных и телекоммуникационных систем.
Можно отметить следующие основные черты, присущие сфере электронных банковских услуг и оказывающие важное влияние на соотношение отдельных категорий банковского риска:
- выход за пределы отдельных стран и за пределы финансового сектора в целом, требующий сотрудничества учреждений банковского надзора с надзорными органами других стран и отраслей;
- сильная зависимость от прогресса информационных и коммуникационных технологий, что приводит к резкому увеличению стратегических и операционных рисков;
- динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий) и, следовательно, в повышении значения стратегического риска;
- рост ориентированности на клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами), что ведет к увеличению правового и репутационного рисков;
- обострение конкуренции в банковском бизнесе, влекущее за собой повышение общего уровня системного риска.
Понятия "оценка рисков информационной безопасности" (Information Security Risk Assessments) и "управление информационными рисками" (Information Risk Management) появились сравнительно недавно, но уже прочно укоренились среди специалистов в области информационной безопасности, обеспечения непрерывности бизнеса и управления качеством. В мировой практике такая оценка применяется для снижения рисков управления, а точнее сказать, ответственности персонала за внезапно возникшие проблемы. Угрозы безопасности носят вероятностный характер и изменяются в процессе жизнедеятельности банка. Идентифицируя соответствующие угрозы, анализируя сопутствующие риски и принимая затем эффективные контрмеры, удается избежать риска, смягчить его, передать риск третьему лицу в виде эффективной программы страхования [22].
Операционная деятельность банка на всем протяжении ее осуществления сопряжена с многочисленными рисками, уровень которых возрастает расширением объема и диверсификацией этой деятельности, со стремлением менеджеров увеличить сумму операционной прибыли. Риски, сопровождающие эту деятельность, формируют обширный портфель рисков банка, который определяется общим понятием – "операционные риски". Эти риски составляют наиболее значимую часть совокупных хозяйственных рисков банка. Система классификации операционных рисков по основным признакам приведена на рисунке 1.
Операционные риски являются объективным явлением в деятельности любого банка и проявляются как совокупность отдельных видов рисков. Виды операционных рисков весьма многообразны, поэтому в целях эффективного управления ими эти риски классифицируют с различной степенью их интеграции.
В системе операционных рисков особое место занимают информационные и телекоммуникационные риски кредитных учреждений.
Информационные и телекоммуникационные риски (IT-риски) — это опасность возникновения убытков или ущерба в результате применения банком информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
SHAPE \* MERGEFORMAT
Рис.1. Классификация операционных рисков
IT-риски можно разделить на две категории:
- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);
- риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.
Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис. 2). Стрелочками на схеме показаны информационные и финансовые потоки.
Рис. 2 Структурная схема управления информационными рисками
Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)*.
При использовании стандартов различных производителей результаты оценки тоже могут получаться разными. В мировой практике анализа и управления рисками основополагающим считается стандарт ISO 17799:2005 Code of practice for information security management ("Свод правил по управлению информационной безопасностью" - предыдущая версия ISO 17799:2000). Фактически этот стандарт представляет собой технологию управления информационной безопасностью.
В 2007 г. Международная организация по стандартизации планирует включить данный стандарт в серию ISO 27000, состоящую из шести стандартов информационной безопасности (по аналогии с другими стандартами системы менеджмента качества ISO 9000). Тогда данный стандарт получит новое название - ISO 27002.
Точный перевод международного стандарта, в целом несущий большую смысловую нагрузку, определяющую важнейшие аспекты информационной безопасности для любой организации, вне зависимости от ее масштаба и рода деятельности приведен в табл.1.
Таблица 1
Введение
1.Банковские риски, роль и место риска использования информационных и телекоммуникационных систем в кредитных организациях РФ
1.1 Понятие и сущность операционного риска
1.2 Управление банковскими рисками
2. Оценка и анализ рисков использования информационных и телекоммуникационных систем в ОАО "АКИБАНК"
2.1 Общая характеристика ОАО "АКИБАНК"
2.2 Анализ управления рисками в ОАО "АКИБАНК"
3. Регулирование информационных и телекоммуникационных рисков в системе управления операционным риском кредитных организаций
3.1. Методика управления рисками, связанными с использованием информационных и телекоммуникационных систем
3.2. Рекомендации по организации управления операционным риском
в ОАО "АКИБАНК"
Заключение
Список использованной литературы
Введение
Наблюдаемое в последние годы быстрое развитие научно-технического прогресса в области компьютерных и телекоммуникационных систем ставит перед кредитными организациями новые задачи в области развития информационных технологий, обеспечения их надежности и безопасности. Это обусловлено, в первую очередь, стремлением кредитных организаций удовлетворить потребности клиентов, возникающие с развитием их бизнеса, в особенности, переходящего национальные границы и требующего осуществления широкого спектра банковских операций с использованием информационных систем. Проведение операций с использованием компьютерных технологий позволяет кредитным организациям создавать наиболее благоприятные условия для привлечения новых клиентов и поддерживать конкурентные преимущества для уже существующей клиентской базы. Развитие информационных систем позволяет кредитным организациям проводить операции как в интересах самого банка, так и клиентов [14].
В настоящее время кредитные организации экономически развитых стран осуществляют широкий спектр банковских операций с использованием информационных технологий. Возникающий при этом операционный риск - это одна из новых проблем, с которой столкнулась банковская система не только Российской Федерации, но и развитых стран. В условиях современных финансовых рынков управление операционным риском становится важным элементом надежности [31].
Актуальность темы исследования заключается в том, что регулирование риска использования информационных и телекоммуникационных систем в настоящее время становится одним из важнейших факторов обеспечения стабильности банковской системы Российской Федерации. Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.
Цель работы состоит в изучении теоретических и методологических основ регулирования информационных и телекоммуникационных рисков, их оценка, а также разработке рекомендаций для минимизации отрицательного влияния операционных рисков на результаты деятельности ОАО "АКИБАНК". Реализация поставленных целей предполагает решение следующих основных задач:
- исследовать экономическую сущность риска, соотношение с родственными категориями ("опасность", "безопасность"), выявить принципиальное значение безопасности как цели управления риском с позиций системного и нормативного подходов;
- изучить практику обеспечения безопасности информационных и телекоммуникационных систем кредитных организаций и определить направления ее возможного применения;
- исследовать методологические подходы к идентификации, определению и контролю за операционным риском, выявить недостатки и дать рекомендации по дальнейшему совершенствованию;
- определить основные направления регулирования операционного риска;
- обосновать необходимость регулирования операционного риска в целях реализации задач по поддержанию стабильности банковской системы;
- провести детальный анализ методов и инструментов управления информационным и телекоммуникационным риском применительно к деятельности кредитной организации и контролирующих органов, рассмотреть их особенности в условиях;
- разработать методику организации контроля за состоянием риска информационных и телекоммуникационных систем в кредитной организации.
Объект и предмет исследования. Объектом исследования является ОАО "АКИБАНК". Предметом исследования являются экономические и организационные отношения, возникающие в процессе регулирования риска использования информационных и телекоммуникационных систем кредитными организациями.
В экономически и промышленно развитых странах теория и практика определения, ведения и управления операционным риском, регулирования со стороны контролирующих органов имеет сравнительно молодую историю. В нашей стране инструменты регулирования операционного риска в настоящее время не разработаны. Однако, существуют рекомендации Базельского Комитета по надзору за банковской деятельностью, в которых обобщён опыт международной банковской практики по определению, ведению и контролю за операционным риском [17].
Методологической основой исследования являются труды отечественных и зарубежных экономистов, посвященные теории и практике банковского дела, а также общеэкономическим проблемам. В процессе исследования использовался монографический и статистический материал, отдельные разработки международных финансовых организаций (в том числе, Базельского комитета по банковскому надзору и регулированию), материалы периодической печати, законодательные акты РФ и нормативные документы Банка России. В основе исследования лежит диалектический метод, предполагающий изучение экономических явлений в их постоянном развитии и взаимосвязи. Применяются и такие методы исследования как сравнительный, логический и системный анализ, сопоставление, обобщение, синтез и другие методы познания сущности явлений.
Изучению аспектов банковского операционного риска посвящены труды видных экономистов и специалистов банковского дела: Антиповой ОН.; Геращенко В.В., Котелкина СВ., Красавиной Л.Н., Лаврушина О.И., Пискулова Д. Ю., Роуза П.С, Савинской Н.А., Севрук ВТ., Симановского А. Ю., Соколинской М.Э., Коха Т., Синки Дж. Ф., Тосуняна Г.А. и др. В тоже время комплексное изучение проблем идентификации, анализа и регулирования риска использования информационных и телекоммуникационных систем в кредитных организациях, его роли в обеспечении стабильности банковской системы в условиях Российской Федерации до сих пор отсутствует.
Всё вышеперечисленное свидетельствует о необходимости теоретического осмысления экономической сущности риска использования информационных и телекоммуникационных систем в кредитных организациях и факторов его определяющих; обобщения имеющегося практического опыта и разработки методологических рекомендаций по управлению и контролю данного вида риска и определяет актуальность избранной темы исследования.
1. Банковские риски, роль и место риска использования информационных и телекоммуникационных систем в кредитных организациях РФ
1.1. Понятие и сущность риска в кредитных организациях.
Несмотря на частую употребляемость термина "риск" в обыденной жизни и науке, универсальное определение до настоящего момента отсутствует, что не позволяет проводить изучение явлений или процессов, не выделив предмета исследования. В данном параграфе сделана попытка систематизировать существующие трактовки риска в кредитных организациях, указать взаимосвязь с родственными категориями и систематизировать данные для классификации рисков [7].
Происхождение термина "риск" в настоящее время определить затруднительно, в Западной Европе оно начинает встречается в средневековых источниках, в основном, связанных с мореплаванием. Новолатинское "risicum" вошло в употребление с конца XV века, при этом в литературе появляется позже: в толковых словарях примеры в области риска относятся к середине XVI века в Англии. В современной терминологии интерпретация будет звучать как вероятность ущерба, а понимание проблемы риска - как нахождение способа избежать ошибок при принятии решений, предполагающих генезис ущерба. В данном случае понятие "риск" рассматривается как возможность наступления нежелательного события и/или количественной меры такого события, является преобладающей в науке. Риск вычисляется способом перемножения вероятности события на ущерб. Такого подхода придерживается большинство отечественных специалистов по анализу природного и техногенного риска. При этом, осознание того, что риск есть мера опасности — важнейший шаг в решении проблемы управления ситуацией, в которой наличествуют потенциальные факторы, способные неблагоприятно воздействовать на человека, общество и природу [21].
Общее определение риска дает Федеральный закон "О техническом регулировании" [2]. Здесь риск рассматривается как некоторая вероятностная категория, ассоциированная с понятием вреда и соответственно с возникающими финансовыми потерями.
Одна из самых ярких современных тенденций в банковском деле — переход к электронному способу ведения бизнеса, кардинальным образом изменяющему соотношение между различными видами риска, с которыми сталкиваются банки. Среди таких особенно выделяется риск использования информационных и телекоммуникационных систем.
Можно отметить следующие основные черты, присущие сфере электронных банковских услуг и оказывающие важное влияние на соотношение отдельных категорий банковского риска:
- выход за пределы отдельных стран и за пределы финансового сектора в целом, требующий сотрудничества учреждений банковского надзора с надзорными органами других стран и отраслей;
- сильная зависимость от прогресса информационных и коммуникационных технологий, что приводит к резкому увеличению стратегических и операционных рисков;
- динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий) и, следовательно, в повышении значения стратегического риска;
- рост ориентированности на клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами), что ведет к увеличению правового и репутационного рисков;
- обострение конкуренции в банковском бизнесе, влекущее за собой повышение общего уровня системного риска.
Понятия "оценка рисков информационной безопасности" (Information Security Risk Assessments) и "управление информационными рисками" (Information Risk Management) появились сравнительно недавно, но уже прочно укоренились среди специалистов в области информационной безопасности, обеспечения непрерывности бизнеса и управления качеством. В мировой практике такая оценка применяется для снижения рисков управления, а точнее сказать, ответственности персонала за внезапно возникшие проблемы. Угрозы безопасности носят вероятностный характер и изменяются в процессе жизнедеятельности банка. Идентифицируя соответствующие угрозы, анализируя сопутствующие риски и принимая затем эффективные контрмеры, удается избежать риска, смягчить его, передать риск третьему лицу в виде эффективной программы страхования [22].
Операционная деятельность банка на всем протяжении ее осуществления сопряжена с многочисленными рисками, уровень которых возрастает расширением объема и диверсификацией этой деятельности, со стремлением менеджеров увеличить сумму операционной прибыли. Риски, сопровождающие эту деятельность, формируют обширный портфель рисков банка, который определяется общим понятием – "операционные риски". Эти риски составляют наиболее значимую часть совокупных хозяйственных рисков банка. Система классификации операционных рисков по основным признакам приведена на рисунке 1.
Операционные риски являются объективным явлением в деятельности любого банка и проявляются как совокупность отдельных видов рисков. Виды операционных рисков весьма многообразны, поэтому в целях эффективного управления ими эти риски классифицируют с различной степенью их интеграции.
В системе операционных рисков особое место занимают информационные и телекоммуникационные риски кредитных учреждений.
Информационные и телекоммуникационные риски (IT-риски) — это опасность возникновения убытков или ущерба в результате применения банком информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
SHAPE \* MERGEFORMAT
Классификация операционных рисков |
По сферам операционной деятельности |
Производственный риск |
Коммерческий риск |
Систематический риск |
По степени зависимости от деятельности |
Несистематический риск |
Валютный риск |
По основным источникам возникновения |
Инфляционный риск |
Кредитный риск |
Прочие виды рисков |
Информационные и телекоммуникационные риски |
Рис.1. Классификация операционных рисков
IT-риски можно разделить на две категории:
- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);
- риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.
Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис. 2). Стрелочками на схеме показаны информационные и финансовые потоки.
|
Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)*.
При использовании стандартов различных производителей результаты оценки тоже могут получаться разными. В мировой практике анализа и управления рисками основополагающим считается стандарт ISO 17799:2005 Code of practice for information security management ("Свод правил по управлению информационной безопасностью" - предыдущая версия ISO 17799:2000). Фактически этот стандарт представляет собой технологию управления информационной безопасностью.
В 2007 г. Международная организация по стандартизации планирует включить данный стандарт в серию ISO 27000, состоящую из шести стандартов информационной безопасности (по аналогии с другими стандартами системы менеджмента качества ISO 9000). Тогда данный стандарт получит новое название - ISO 27002.
Точный перевод международного стандарта, в целом несущий большую смысловую нагрузку, определяющую важнейшие аспекты информационной безопасности для любой организации, вне зависимости от ее масштаба и рода деятельности приведен в табл.1.
Таблица 1
Стандарт ISO 17799:2005Стандарт ISO 17799:2005 Code of practice for information security management содержит 11 пунктов.1. Политика безопасности 2. Организация информационной безопасности: · Управление безопасностью внутренней инфраструктуры организации · Управление безопасностью при доступе внешних пользователей 3. Управление информационными ресурсами: · Ответственность за ресурсы · Классификация ресурсов 4. Управление персоналом: · Вопросы безопасности при приеме на работу · Вопросы безопасности при работе персонала в штате компании · Вопросы безопасности при увольнении с работы |
Продолжение таблицы 1
5. Физическая и экологическая безопасность: · Области безопасности · Безопасность оборудования 6. Управление коммуникациями и операциями: · Рабочие процедуры и ответственность · Управление передачей информации третьим лицам · Системное планирование и принятие решений · Защита от злонамеренного программного обеспечения · Резервное копирование · Управление сетевой безопасностью · Транспортировка носителей информации · Обмен информацией · Обслуживание электронной коммерции · Мониторинг 7. Управление доступом: · Бизнес-требования для контроля доступа · Управление доступом пользователя · Ответственность пользователей · Контроль и управление сетевым (удаленным) доступом · Контроль доступа к операционным системам · Контроль и управление доступом к приложениям и информации · Мобильные пользователи и телекоммуникации 8. Приобретение, разработка и поддержка информационных систем: · Требования по безопасности информационных систем · Правильная работа приложений · Криптография · Безопасность системных файлов · Безопасность разработки и поддержки процессов · Техническая безопасность управления 9. Управление инцидентами информационной безопасности: · Сообщение о недостатках информационной безопасности · Управление инцидентами информационной безопасности и их устранением 10. Управление непрерывностью бизнеса: · Управление аспектами информационной безопасности для обеспечения непрерывности бизнеса 11. Согласование: · Соответствие требованиям законодательства · Соответствие политикам безопасности и стандартам и техническое согласование · Анализ аудита информационных систем |
В предыдущей версии стандарта (ISO 17799:2000) было 10 пунктов. Разработчики новой версии выделили "Управление инцидентами информационной безопасности" в отдельный пункт ввиду высокой важности этого вопроса [8].
Анализ информационных рисков вне зависимости от выбранных стандартов можно представить как некий сценарий или алгоритм действий, направленный на сбор и обобщение информации об исследуемой системе (рис. 3).
|
На первом и втором этапах анализа рисков составляется перечень наиболее критичной и конфиденциальной информации. Третий этап - построение схем каналов доступа, через которые может выполняться несанкционированное воздействие на информацию (например, установленные у пользователя факс-модем или адаптер Bluetooth для соединения с ноутбуком или мобильным телефоном).
Четвертый этап предполагает анализ способов защиты всех возможных точек атак; его результатом должна стать характеристика всех предполагаемых уязвимостей в обороне, в том числе с учетом неблагоприятных обстоятельств. На пятом этапе, исходя из накопленной информации обо всех возможных способах и средствах преодоления защиты, определяют вероятности реализации угроз для каждой из возможных точек атак.
На заключительном этапе проводится оценка ущерба организации в случае реализации каждой из угроз.
Многообразие видов рисков, сопровождающих операционную деятельность банка, предопределяет необходимость постоянного управления ими, которое рассматривается как неотъемлемая составная часть всей системы управления операционной прибылью. Комплексное управление этими показателями обусловлено высокой степенью связи между уровнем операционной прибыли и уровнем операционных рисков, которая носит прямой характер [1].
Управление операционными рисками представляет собой систему мероприятий по их идентификации, оценке, профилактике и страхованию с целью минимизации связанных с ними финансовых потерь в процессе операционной деятельности банка.
Группировка операций банка по уровню риска позволяет определить какие из них находятся за пределами уровня допустимого риска (особенно в зоне катастрофического риска) с тем, чтобы еще раз взвесить целесообразность их проведения.
Внутренними и внешними факторами (причинами) операционного риска являются:
- случайные или преднамеренные действия физических и (или) юридических лиц, направленные против интересов кредитной организации;
- несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля;
- сбои в функционировании систем и оборудования;
- неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации.
Управление операционным риском входит в систему управления рисками кредитной организации.
1.2 Управление банковскими рисками
Необходимость управления информационными и телекоммуникационными рисками (IT- рисками) определяется значительным размером возможных операционных убытков, которые могут создавать угрозу финансовой устойчивости кредитной организации.
Управление рисками рассматривается нами на административном уровне информационной безопасности, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ [19].
Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.
Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:
- (пере)оценка (измерение) рисков;
- выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
- ликвидация риска (например, за счет устранения причины);
- уменьшение риска (например, за счет использования дополнительных защитных средств);
- принятие риска (и выработка плана действия в соответствующих условиях);
- переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на следующие этапы приведенные на рисунке 4.
SHAPE \* MERGEFORMAT
Этапы |
5.Оценка рисков |
7.Реализация и проверка выбранных мер |
6.Выбор защитных мер |
8.Оценка остаточного риска |
1.Выбор анализируемых объектов |
3.Идентификация активов |
4.Анализ угроз и их последствий |
2.Выбор методологии оценки рисков |
Рис.4 Этапы управления рисками
Уже перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.
Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили четыре этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.
На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.
На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.
На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.
При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.
Подготовительные этапы управления рисками.
Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны [4].
Мы уже указывали на целесообразность создания карты информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими пришлось пренебречь. Если информационная система меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.
Вообще говоря, уязвимым является каждый компонент информационной системы - от сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт.
Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками - типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности) [18].
При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае.
Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно нанести на карту информационной системы в качестве граней соответствующих объектов.
Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение, и из каких узлов оно используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.
Основные этапы управления рисками.
Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они напрямую с рисками не связаны. Риск появляется там, где есть угрозы.
Краткий перечень наиболее распространенных угроз был рассмотрен нами ранее. К сожалению, на практике угроз гораздо больше, причем далеко не все из них носят компьютерный характер. Так, вполне реальной угрозой является наличие мышей и тараканов в занимаемых организацией помещениях. Первые могут повредить кабели, вторые вызвать короткое замыкание. Как правило, наличие той или иной угрозы является следствием пробелов в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей возникает не просто там, где есть мыши, она связана с отсутствием или недостаточной прочностью защитной оболочки.
Первый шаг в анализе угроз - их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ.
Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.
После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости. Например, если велика вероятность нелегального входа в систему, можно потребовать, чтобы пользователи выбирали длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если есть вероятность умышленного повреждения сервера баз данных, что может иметь серьезные последствия, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.
Оценивая стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.
Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня [15].
Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного).
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.
Минимизация IT- риска предполагает осуществление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и на уменьшение размера потенциальных операционных убытков. Методы минимизации IT- риска рекомендуется применять с учетом характера и масштабов деятельности кредитной организации.
В отношении контроля за операционным риском наиболее важным является:
- контроль за соблюдением установленных лимитов по проводимым банковским операциям и другим сделкам;
- соблюдение установленного порядка доступа к информации и материальным активам банка;
- надлежащая подготовка персонала;
- регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам.
Снижению операционного риска может способствовать развитие систем автоматизации банковских технологий и защиты информации. При этом кредитной организации рекомендуется принимать во внимание возможную трансформацию операционного риска: при ручной (неавтоматизированной) обработке существует высокая вероятность наступления события, приводящего к убыткам (например, ошибка при вводе данных), а величина потенциальных убытков - небольшая или умеренная, в то время как с повышением уровня автоматизации вероятность наступления события, приводящего к убыткам, снижается, но величина потенциальных убытков может быть весьма значительной (например, ошибка в программном обеспечении или системный сбой) [26].
Снижение уровня отдельных видов операционного риска может быть осуществлено путем передачи риска или его части третьим лицам.
Решение об использовании механизмов передачи риска (например, аутсорсинга - привлечения специализированной сторонней организации для выполнения отдельных видов работ) рекомендуется принимать по результатам тщательного анализа с учетом ожидаемого эффекта, стоимости и возможности трансформации одного вида риска в другой. Кредитной организации рекомендуется наряду с контролем за уровнем остаточного риска сохранять возможность контроля за размером передаваемого операционного риска.
При применении аутсорсинга рекомендуется обратить внимание на то, что в этом случае кредитная организация несет ответственность не только за конечный результат деятельности, но и за способ его достижения, поэтому целесообразно установить контроль за уровнем надежности, качества и соблюдением законодательства Российской Федерации при оказании услуг.
Аутсорсинг рекомендуется осуществлять на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между кредитной организацией и поставщиком услуг. Кредитной организации рекомендуется предусмотреть во внутренних документах порядок регулирования рисков, связанных с аутсорсингом, в том числе риска отказа в обслуживании [23].
Уменьшение финансовых последствий операционного риска (вплоть до полного покрытия потенциальных операционных убытков) возможно с помощью страхования. С использованием традиционных видов имущественного и личного страхования кредитными организациями могут быть застрахованы носители информации и сама информация - на случай утраты.
Страхование может быть использовано и в отношении специфических банковских рисков как на комплексной основе (полис комплексного банковского страхования), так и применительно к отдельным видам рисков (например, страхование рисков, связанных с эмиссией и обращением платежных карт, страхование профессиональной ответственности служащих кредитной организации, страхование ущерба от преступлений в сфере компьютерной информации).
Защита информации — это обеспечение непрерывности внутренних бизнес-процессов и безопасности обмена данными с клиентами при использовании информационных систем. На случай возникновения чрезвычайных ситуаций, таких как атаки на основной сервер или сбои в его работе, журнал транзакций периодически копируется на резервный сервер, находящийся в другом помещении, поэтому максимальный объем информации— это данные за последний час работы.
Таким образом, к информационным и телекоммуникационным рискам (IT-рискам) относятся потеря данных из-за сбоя в работе информационных систем, хищение информации, а также передача информации третьим лицам сотрудниками банка. Работа по минимизации таких рисков делится на организационную и техническую. Организационные меры связаны с ограничением доступа к данным. Для этого вся информация классифицируется на общедоступную, для служебного пользования и секретную.
В итоге получается матрица информационных потоков, каждому уровню которой соответствует определенный уровень доступа.
2. Оценка и анализ рисков использования информационных и телекоммуникационных систем в ОАО "АКИБАНК"
2.1 Общая характеристика ОАО "АКИБАНК"
Акционерный коммерческий ипотечный банк "АКИБАНК" (открытое акционерное общество) зарегистрирован в Центральном Банке Российской Федерации 25 ноября 1993 года, лицензия № 2587. ОАО "АКИБАНК" включен в реестр банков - участников системы обязательного страхования вкладов под номером 237.
Наименование – акционерный коммерческий ипотечный банк "АКИБАНК" (открытое акционерное общество)
Лицензия на осуществление банковских операций № 2587 от 10.11.2002г:
Привлечение денежных средств юридических лиц во вклады (до востребования и на определенный срок) [10].
Общая характеристика и организационная структура Банка представлена на рис.5.
УСК УСМБ УЧЛ УОДБ
Рис. 5 Структура управления ОАО "АКИБАНК"
УСК – управление по обслуживанию стратегических клиентов;
УСМБ - управление по обслуживанию клиентов среднего и малого бизнеса;
УЧЛ - управление по обслуживанию частных лиц;
УОДБ - управление по обеспечению деятельности банка.
Миссия ОАО "АКИБАНК" заключается в содействии экономическому развитию и благосостоянию сообществ, обслуживаемых банком, путем представления гражданам и предприятиям качественных банковских услуг, которые соответствуют высоким профессиональным и этическим стандартам, обеспечения справедливой и соответствующей прибыли акционерам банка и справедливого отношения к сотрудникам банка.
Миссия банка состоит их 3 основных элементов:
1. Предоставление качественных банковских услуг клиентам;
2.Обеспечение справедливой прибыли акционерам ОАО "АКИБАНК";
3. Справедливое отношение к сотрудникам ОАО "АКИБАНК";
Стратегические цели ОАО "АКИБАНК", поставленные акционерами, установлены на таком уровне, что их достижение невозможно без выполнения Миссии. Поэтому достижение стратегических целей банком будет свидетельствовать о выполнение им Миссии
АКИБАНК - универсальный коммерческий банк с устойчивой динамикой роста основных финансовых показателей. Размер уставного капитала на 1 января 2007 года составил 969,3 млн.руб., капитал банка – 1111,3 млн. руб., активы – 9231,5 млн.руб.
Итоги деятельности ОАО "АКИБАНК" в 2006 году вновь подтверждают репутацию успешной, динамично развивающейся компании, ориентированной на продвижение современных банковских услуг, позволяющих клиентам банка повысить эффективность бизнеса и качество жизни.
Общее увеличение эффективности работы Банка в отчетном году положительно отразилось на финансовых и операционных результатах. Как и в предыдущие годы, в 2006 году прослеживалась четкая тенденция роста основных показателей, которая приведена на рисунке 6.
Рис. 6 Тенденция роста основных показателей.
Акционерами банка являются организации различных форм собственности, имеющие стабильный доход и устойчивое финансовое положение. Среди них ОАО "Татэнерго", ООО "Страховая группа "АСКО", ООО "АССА", ООО ТПК "Камские автомобили", ОАО "Генерирующая компания", ОАО "Сетевая компания".
Основную долю активных операций ОАО "АКИБАНК" составляет кредитование "реального сектора" экономики Российской Федерации. По объемам выданных кредитов банк входит в первую пятерку действующих кредитных организаций республики. ОАО "АКИБАНК" находится в тройке региональных лидеров по росту объемов выданных кредитов субъектам малого бизнеса и индивидуальным предпринимателям.
Уставный капитал банка составляет 969 296 тыс. руб. По этому показателю ОАО "АКИБАНК" уверенно входит в число 200 крупнейших кредитных организаций России. За 2004-2005 годы осуществлены три выпуска акций банка на общую сумму 544 млн. руб. Готовность акционеров вкладывать деньги в акции банка свидетельствует о его надежности и стабильности. Планируется наращивание уставного капитала банка до двух млрд. рублей. Увеличение собственного капитала позволит банку увеличить масштабы бизнеса, продолжить развитие сети филиалов, совершенствовать старые и вводить новые услуги.
Результаты деятельности Банка в отчетном году убедительно демонстрируют его финансовую стабильность и поступательный рост. В 2006 году ОАО "АКИБАНК" существенно улучшил показатели по валюте баланса, активам, кредитным вложениям и привлеченным ресурсам, что является свидетельством правильности выбранной стратегии развития Банка [28].
Рост валюты баланса на 46% во многом определяется аналогичным ростом кредитного портфеля на 47%. Кредитование остается основным направлением размещения средств, приносящим около половины доходов банка. За 2006 год было выдано кредитов на сумму 21 745 млн.рублей, что на 19,8% больше,
чем в 2005г. На финансирование реального сектора экономики направлено свыше 4 400 млн. рублей, что составило более 20% от всех выданных кредитов в течение отчетного года. Предприятиям малого бизнеса (предприятия
и индивидуальные предприниматели) было предоставлено в различных формах заимствования 128,4 млн.рублей. Основные отрасли кредитования – это предприятия сельского хозяйства, промышленности, электроэнергетики, пищевой промышленности, торговли, строительной отрасли, лизинговые фирмы. Объем займов, выданных физическим лицам за 2006 год, составил 1 956 млн. рублей.
Рис.7 Структура кредитного портфеля Банка
В отчетном периоде на увеличение резервов направлены значительные средства – 60,8 млн. руб. С одной стороны, это явилось результатом целенаправленной работы банка по минимизации принимаемых банком кредитных рисков, с другой – увеличением кредитных вложений. Доля созданных резервов в общих кредитных вложениях на 01.01.2007г. составила 2,1%.
Положительным фактором является и увеличение активов по сравнению с началом года без малого на 50 %. Значительное увеличение активов связано, в первую очередь, с ростом ресурсной базы, произошедшем за счет увеличения объема привлеченных средств (табл.2).
Основным источником привлеченных средств являлись средства клиентов. Наиболее существенный прирост (68%) произошел по сумме остатков на расчетных счетах, которая на 01.01.2007 г. достигла 3705,8 млн. рублей.
Депозиты юридических и физических лиц выросли за год на 20% и составили 40% в структуре привлеченных средств. Достаточно показательным является стабильный рост объемов средств населения во вкладах Банка. Этот показатель за отчетный год стал больше на 31%, составив 1783,5 млн.рублей.
Структура привлеченных средств на 01.01.2007г.
Таблица 2
Показатель | на 01.01.07 (в тыс.руб.) | % от суммы привлеченных средств |
Остатки на расчетных счетах | 3 705 828 | 46,1 % |
Депозиты физических лиц | 1 783 484 | 22,2 % |
Депозиты юридических лиц | 1 417 645 | 17,6 % |
Выпущенные долговые обязательства | 1 130 097 | 14,1 % |
Итого | 8 037 054 | 100 % |
Доля работающих активов в среднем по году составляла 80%, что говорит об эффективном использования привлеченных средств.
Собственный капитал банка с начала года увеличился на 130 млн.рублей или на 13,3%. В июле 2006 г. Банк провел эмиссию уставного капитала на 83,8 млн. рублей за счет капитализации собственных средств (нераспределенной прибыли за 2005год) и на 01.01.2007 уставный капитал банка составил 969,3 млн. рублей Рентабельность уставного капитала за 2006 год достигла уровня 20,7% (при уровне инфляции 8-10%), рентабельность собственных средств (капитала) Банка составила 18%, и это свидетельствует о высокой доходности совершаемых операций, которые приведены в табл. 3.
Показатели финансово-экономической деятельности в динамике
Таблица 3
Показатели | 2004 год (в тыс. руб.) | 2005 год (в тыс. руб.) | 2006 год (в тыс. руб.) |
Уставный капитал | 825 500 | 885 500 | 969 296 |
Собственные средства (капитал) | 886 663 | 980 954 | 1 111 336 |
Балансовая прибыль | 97 371 | 195 225 | 200 371 |
Рентабельность капитала (%) | 11,0 | 19,9 | 18,0 |
Рентабельность активов (%) | 2,3 | 3,1 | 2,2 |
Валюта баланса | 4 998 269 | 7 199 021 | 10 504 539 |
Активы | 4 211 732 | 6 275 211 | 9 231 502 |
Доходы | 826 811 | 1 438 819 | 1 903 814 |
Кредитный портфель | 2 995 580 | 4 749 140 | 6 990 633 |
Количество расчетных счетов | 4 555 | 6 023 | 7 180 |
Привлеченные средства | 3 198 744 | 5 229 512 | 8 037 054 |
Национальные проекты
Таблица 4
Название предприятия | Название проекта | Стоимость проекта, (т. р.) | Сумма кредита (т.р.) | Срок окупаемости |
ООО "Челны-Бройлер | Реконструкция птицефабрики | 988 310 | 244 716 | 4 года 9 мес. |
ООО "Камский Бекон" | Строительство комплекса по выращиванию свиней | 2 031 500 | 512 360 | 6,5 лет |
ООО "Камские" Автомобили | Строительство жилья | 305 000 | 181 100 | 1,2 года |
ООО "Магнолия-С" | Строительство жилья | 107 963 | 93 000 | 7 месяцев |
ООО "Грань" | Строительство жилья | 167 000 | 10 900 | 11 месяцев |
ЗАО "Татнефтегаз-стройинвест" | Строительство комплекса жилых домов с плавательным бассейном | 159 500 | 47 102 | 2 года |
Итого | 3 759 273 | 1 075 018 |
Показатели по оказанию услуг частным лицам.
Таблица 5
Наименование показателя | на 01.01.2007 г. | Рост с начала года |
Прием платежей | 3 566 млн.руб. | 26% |
Денежные переводы | 1 023 млн.руб. | 17% |
Выпуск банковских карт | 175 294 штук | 22% |
Объем вкладов | 1 783 млн.руб. | 31% |
Кредитный портфель | 1 435 337 млн.руб. | 91% |
Доходы | 141 899 тыс.руб. | 63% |
Рис. 8 Динамика роста обслуживания банковских карт
Структура кредитного портфеля
Кредиты, выданные юридическим лицам
Рис.9 Структура кредитного портфеля Банка
Политика управления персоналом основана на миссии ОАО "АКИБАНК", целью которой является обеспечение прибыли акционерам посредством оказания высококачественных услуг клиентам банка. Наше видение системы управления персоналом определяется бизнес-стратегией Банка, нацелено на обеспечение и развитие его конкурентных преимуществ [32].
Успех ОАО "АКИБАНК" обеспечивает его персонал. Партнёрские взаимоотношения внутри коллектива, социальная ответственность и справедливость, поощрение инициативы и соблюдение высоких профессиональных стандартов в работе с персоналом являются залогом нашего общего благополучия и процветания.
Корпоративная политика в области управления персоналом в 2006 году была направлена на достижение следующих целей:
• повышение результативности труда;
• создание эффективной системы оплаты труда и мотивации сотрудников;
• развитие системы оценки, обучения и развития персонала;
• формирование кадрового потенциала, адекватного потребностям Банка;
• поддержание организационного порядка.
Внедрение новой системы оплаты труда и мотивации сотрудников, позволило создать эффективную систему общего вознаграждения, целью которой является привлечь, удержать и мотивировать сотрудников, чья квалификация и результативность обеспечат успешное выполнение Банком своей миссии и достижение бизнес-целей.
При удовлетворении потребностей в персонале определенного качества Банк, прежде всего, ориентируется на развитие необходимых навыков и компетенций у своих сотрудников.
Необходимый уровень профессиональной компетентности сотрудников поддерживался и развивался системой обучения и повышения квалификации (рис.10). В 2006 году на обучение и развитие персонала было потрачено 0,7 млн. руб. В 2007 году корпоративная система обучения и развития персонала будет основываться на стратегических потребностях бизнеса, бизнес-планах и должностных требованиях.
В целях управления лояльностью сотрудников в отчетном году было принято решение устанавливать ежемесячную доплату за непрерывный стаж работы в ОАО "АКИБАНК". Для обеспечения непрерывности и преемственности управления разработан и внедрён механизм формирования внутреннего кадрового резерва на замещение должностей Банка.
Организационный порядок является основой деятельности Банка и достигается через безусловное выполнение сотрудниками требований "Правил внутреннего трудового распорядка ОАО "АКИБАНК".
Рис. 10 Структура персонала по уровню образования
С целью расширения зоны обслуживания клиентов открыты филиалы во всех промышленно-развитых районах Республики Татарстан: в городах Казань (Северо-западный промышленный район), Альметьевск (Закамье), Нижнекамск (Северо-восточный регион РТ). Начиная с 2003 г. банк расширил сферу своего влияния за пределы Республики, открыв филиалы в Москве и Воронеже. В конце 2004 года зарегистрирован филиал в Уфе.
Сегодня банк обслуживает более 7000 клиентов – юридических лиц свыше 300000 вкладчиков. Ежегодно более тысячи предприятий различных форм собственности и предпринимателей открывают счета в банке. ОАО "АКИБАНК" входит в рейтинги крупнейших банков России, имеет несколько профессиональных премий – знак признания достойного вклада в развитие финансовой системы страны.
Взвешенная политика, основанная на точном анализе рыночной ситуации и долгосрочном прогнозе, знание текущих тенденций позволяют банку сохранять стабильность и динамично развиваться.
Внимательное и оперативное обслуживание клиентов, максимальное удовлетворение их потребностей в банковских продуктах высокого качества являются основой клиентской политики банка.
На протяжении многих лет банк занимается благотворительной и спонсорской деятельностью, помогая решать самые разные социальные проблемы. ОАО "АКИБАНК" много делает для поддержки талантливой молодежи.
ОАО "АКИБАНК" сегодня ставит перед собой новые масштабные задачи по увеличению объемов и расширению деятельности. Банк планирует существенно увеличить уставный капитал за счет дополнительной эмиссии акций. В составе его акционеров появится иностранный инвестор. Это позволит АКИБАНКу привлечь дополнительные финансовые ресурсы и еще активнее развивать программы кредитования малого, среднего бизнеса, населения, а также совершенствовать бизнес – процессы, внедрять высокотехнологичные услуги. И это еще больше повысит конкурентоспособность банка.
Стратегией развития ОАО "АКИБАНК" предусмотрено значительное увеличение объемов розничного бизнеса. Для достижения поставленных целей планируется укрепление позиций Банка в существующих регионах присутствия, а также географическое расширение за счет новых регионов. Предполагается географическое расширение точек продаж розничных продуктов за счет открытия представительств и кредитно-кассовых офисов
в крупных городах Российской Федерации.
Будет открыто 7 дополнительных офисов, приобретено 18 банкоматов и 60 POS-терминалов по городам присутствия Банка.
Акционерный коммерческий ипотечный банк "АКИБАНК" (открытое акционерное общество) зарегистрирован 25.11.1993 года, регистрационный номер № 2587. Адрес: г. Набережные Челны, пр. Мира, д.88 а.
2.2 Анализ управления рисками в ОАО "АКИБАНК"
В ОАО "АКИБАНК" создана эффективная система управления уровнем всех видов рисков, сопровождающих его деятельность.
Целью системы управления рисками является поддержание принимаемого на себя Банком совокупного риска на уровне, определенном Банком в соответствии с собственными стратегическими задачами. Приоритетным является обеспечение максимальной сохранности активов и капитала на основе минимизации подверженности рискам, которые могут привести к неожиданным потерям.
Стратегия управления рисками ОАО "АКИБАНК" базируется на соблюдении принципа безубыточности деятельности и направлена на обеспечение оптимального соотношения между прибыльностью бизнес - подразделений Банка и уровнем принимаемых на себя рисков. Основными структурными подразделениями, на которые возлагаются функции контроля над рисками в ОАО "АКИБАНК", являются отдел контроля банковских рисков, казначейство Банка и отдел внутреннего контроля Банка.
В течение 2006 года были созданы внутренние положения, регламентирующие порядок выявления, оценки, контроля и минимизации рисками в ОАО "АКИБАНК". Данные документы разработаны в соответствии с требованиями нормативных актов ЦБ РФ, документов Базельского
комитета, Общепризнанных Принципов Управления Рисками (Generally Accepted Risk Principles – GARP), собственных методик оценки, показателей и инструментов управления рисками [30].
В Банке разработана система лимитов, которая ограничивает (минимизирует) кредитные, региональные, отраслевые риски, риски ликвидности и рыночный риск. Мониторинг данных показателей о выполнении лимитов производится ежеквартально, результаты доводятся Наблюдательному Совету и Правлению Банка.
Оценка уровня основных видов рисков производится с использованием таких инструментов, как, стресс-тестирование и сценарный анализ.
Действующая в ОАО "АКИБАНК" система управления рисками позволяет с большой долей запаса выполнять основные нормативы Банка России:
• норматив достаточности капитала Н1 = 13,1% (min = 10%);
• норматив мгновенной ликвидности Н2 = 36,7% (min = 15%);
• норматив текущей ликвидности Н3 = 63,9% (min = 50%);
• норматив долгосрочной ликвидности Н4 = 82,9% (max = 120%);
• максимальный размер риска на одного заемщика или группу связанных
заемщиков Н6 = 24,4% (max = 25%);
• максимальный размер крупных кредитов Н7 = 388,6% ( max = 800%).
Об эффективности системы управления рисками свидетельствует высокое качество ссудного портфеля. Размер созданных резервов составляет 2,1%
от суммы ссудного портфеля, а доля просроченной задолженности не превышает 0,17% [26].
В целях оценки, контроля и минимизации кредитных рисков в ОАО "АКИБАНК" действует утвержденный порядок проведения операций, включающий в себя соответствующие правила и процедуры, утвержденные полномочия по принятию решений и лимиты по объему проводимых операций. Разработана система управления кредитными рисками, которые ограничиваются установленными лимитами по оптимизации регионального, отраслевого риска, по типам заемщиков, риска на одного или группу взаимосвязанных заемщиков, по крупным кредитам, максимальный риск по связанным с банком лицам и акционерам банка. В 2006 году были установлены лимиты и постоянно производится мониторинг суммы условных обязательств кредитного характера и суммы кредитов, выданных связанным с Банком сторонам. Отделом контроля банковских рисков производится расчет ежедневного значения показателя "вероятность дефолта заемщика", начиная с периода 01.09.2004 г. до текущего момента, на основе которого производится расчет величины Value-at-Risk (VaR)..
Риск ликвидности контролируется ежедневно отделом казначейства, Отдел контроля банковских рисков и главным бухгалтером путем установления лимитов мгновенной, текущей ликвидности, долгосрочной и общей ликвидности и ежедневного контроля за их состоянием в ПК "Управленческий учет" и в программе ЦБ "Obved".
Для оценки и анализа риска потери ликвидности Банк использует следующие методы:
• метод коэффициентов (ежедневный расчет обязательных нормативов в соответствии с требованиями Инструкции №110-И от 16.01.2004г.);
• метод анализа разрыва в сроках погашения требований и обязательств с расчетом показателей ликвидности: избыток/дефицит ликвидности, коэффициент избытка/дефицита ликвидности (ежедневный расчет ф.125);
• прогноз движения потоков денежных средств.
Операционный риск минимизируется за счет регламентирования и контроля всех проводимых в Банке процедур, делегирования и разделения полномочий, постоянного совершенствования используемых технологий и информационных систем. В 2006 году Банк начал вести учет операционных рисков и расчет капитала, необходимого для резервирования под операционные риски. Расчет капитала под операционные риски производится двумя методами: базовым индикативным (BIA) и стандартизированным (TSA). Ежеквартально рассчитывается уровень операционного риска Банка. Выявление операционных убытков и потерь ведется всеми подразделениями банка, включая и филиалы. Отчеты по операционным рискам составляются отделом контроля банковских рисков ежеквартально и направляются Правлению банка и Наблюдательному совету Банка [5].
Рыночный риск включает в себя валютный, фондовый и процентный риск. В валюте баланса вложения в торговый портфель занимает менее 0,1%, валюта – 0,6%, поэтому на данном этапе валютный и фондовый риски незначительны. Контроль и управление фондовым риском осуществляется в соответствии с внутренними утвержденными документами. Ежедневно осуществляется контроль за соблюдением установленных лимитов по проводимым операциям на рынке ценных бумаг, за доходностью сделок с ценными бумагами. Процентный риск контролируется путем ежемесячного мониторинга ставок привлечения и размещения ресурсов, маржи прибыли, внутренней себестоимости и других факторов, оказывающих влияние на уровень процентных рисков.
В 2006 году также начата работа по проведению стресс-тестирования Банка. В программном комплексе ИНЭК "Финансовый риск менеджер"
производится ежеквартальное стресс-тестирование банка для расчета максимальных потерь – капитала под риском (VAR). Методы оценки рисков
на основе VAR- анализа позволяют рассчитать с заданной вероятностью максимальные ожидаемые убытки банковского портфеля при условии сохранения текущих рыночных тенденций. Основной методикой стресс-тестирования в ОАО АКИБАНК" является сценарный анализ, проводимый на основе либо исторических событий, произошедших в прошлом, либо на основе гипотетических событий, которые могут произойти в будущем, и анализ чувствительности портфеля активов Банка к изменению факторов риска, на
основании которых рассчитываются максимальные потери банка, которые могут возникнуть при самых неблагоприятных, но вероятных условиях.
Сценарный анализ позволяет оценивать не только максимально возможные потери, но и проводить анализ чувствительности финансового результата банковского портфеля к изменению значений факторов риска и их волатильности.
Отдел информационных технологий. Отдел информационных технологий является структурным подразделением Управления обеспечения деятельности банка, осуществляющим удовлетворение потребностей банка в следующих услугах:
- автоматизация бизнес-процессов всех подразделений (под бизнес-процессом в целях настоящего Положения понимаются действия сотрудников банка, направленные на реализацию функций, возложенных на них утвержденными внутрибанковскими положениями и должностными инструкциями);
- автоматизация процессов управления банком;
- формирование и представление всех видов информации, связанной с автоматизацией бизнес-процессов всех подразделений банка и их программным обеспечением, начальнику управления обеспечения деятельности банка;
Общей целью (миссией) Отдела определяется повышение благосостояния акционеров ОАО "АКИБАНК", его работников и клиентов, что является:
- условием, определяющим перспективы развития банка, финансовые результаты его деятельности;
- первым и необходимым условием существования самого отдела информационных технологий;
Задачей Отдела является оказание определенных настоящим положением услуг, таким образом и на таком уровне, чтобы:
- обеспечить повышение производительности труда сотрудников банка методом автоматизации процессов сбора и анализа входящей и исходящей информации до уровня производительности труда конкурентов банка;
- обеспечить повышение уровня качества и комфорта управления банком путем автоматизации процессов формирования и вывода управленческой информации до уровня конкурентов банка;
- минимизировать риски, возникающие в процессе деятельности всех подразделений банка, связанных с использованием программного обеспечения до уровня конкурентов банка (под конкурентами банка в целях настоящего Положения понимаются коммерческие банки, входящие в состав первой сотни европейских банков в соответствии с официальными данными международных рейтинговых агентств);
- обеспечить своевременное формирование достоверной и полной управленческой информации, связанной с автоматизацией бизнес-процессов всех подразделений банка и их программным обеспечением.
- обеспечить возможность формирования любых новых видов информации, необходимых для составления и реализации стратегических и тактических планов банка, и отвечающих требованиям достоверности, полноты и своевременности для ее пользователей;
- обеспечить постоянный рост производительности труда должностных лиц банка путем создания комфортных условий их деятельности. Роль Отдела в создании комфортных условий для должностных лиц банка заключается в своевременном и полном выполнении закрепленных за ним функций, связанных с автоматизацией бизнес-процессов всех управлений банка, обеспечением бесперебойной работы всех программных средств, своевременным сбором и формированием полной и достоверной управленческой информации.
Отдел подчиняется непосредственно Заместителю Председателя Правления - начальнику Управления обеспечения деятельности банка и возглавляется начальником Отдела.
В своей работе Отдел руководствуется миссией банка, внутрибанковскими документами, действующим законодательством Российской Федерации, уставом банка, Решениями Наблюдательного Совета банка, приказами и распоряжениями Председателя Правления банка, правилами оказания банковских услуг.
Принципы работы отдела информационных технологий
Сотрудники Отдела заинтересованы в экономическом росте каждого доходного подразделения и банка в целом.
Отдел на постоянной основе производит поиск резервов роста конкурентоспособности и инвестиционной привлекательности банка. Предлагает и реализует мероприятия по использованию данных резервов.
Стоимость вновь закупаемых программных продуктов не должна превышать экономического эффекта от их использования в определенный период и не превышать бюджета, предусмотренного финансовым планом.
Выполняя функции, возложенные на отдел, сотрудники должны заботиться о постоянном повышении комфорта руководства и сотрудников банка. В целях реализации миссии Отдела и как средство достижения финансовых целей в процессе своей деятельности работники Отдела придерживаются следующих принципов, которые представлены в табл.6.
Принципы деятельности
Таблица 6
Принципы деятельности Отдела | Содержание принципов |
1.Сотрудники Отдела заинтересованы в экономическом росте каждого доходного подразделения и банка в целом. | В процессе обслуживания Банка сотрудники Отдела обязаны осознавать свою непосредственную заинтересованность в экономическом росте банка, его акционеров и клиентов. Доходы банка являются частью доходов клиентов и, следовательно непосредственно зависят от их размера. В свою очередь доходы сотрудников Отдела являются частью доходов, получаемых банком, и также зависят от их размера. |
2.Отдел на постоянной основе производит поиск резервов роста конкурентоспособности и инвестиционной привлекательности банка. Предлагает и реализует мероприятия по использованию данных резервов. | Отдел в процессе осуществления своих функций анализирует бизнес-процессы, осуществляемые сотрудниками банка, на предмет возможности их автоматизации. В результате данного анализа выявляются резервы увеличения производительности труда, повышение уровня надежности проводимых операций для клиентов Управления обеспечения деятельности банка. Рост конкурентоспособности банка отделом информационных технологий также обеспечивается за счет деятельности, направленной на снижение рисков (доработка программного обеспечения, разработка внутренних стандартов документов). Исходя из цели по повышению конкурентоспособности банка и инвестиционной привлекательности, отдел анализирует рынок банковского программного обеспечения на предмет возможного использования в бизнес-процессах управлений. |
3.Стоимость вновь закупаемых программных продуктов не должна превышать экономического эффекта от их использования в определенный период и не превышать бюджета, предусмотренного финансовым планом. | Решение о приобретении программных продуктов всегда должно основываться на предварительном анализе экономической целесообразности изъятия средств из доходных активов и расчета периода их окупаемости. Приобретение программных средств непосредственно влияет на риск потери ликвидности банка. Поэтому приобретение программных средств должно производиться в объемах, предусмотренных годовым финансовым планом банка. Нецелесообразным признается приобретение программных продуктов со сроком окупаемости более срока их морального и/или технического износа. Нецелесообразным признается приобретение программных продуктов, если их потребительские качества используются менее чем на 70 %; |
Продолжение таблицы 6
Принципы деятельности Отдела | Содержание принципов |
4.Выполняя функции, возложенные на отдел, сотрудники должны заботиться о постоянном повышении комфорта руководства и сотрудников банка. | Уровень комфорта руководства банка и его сотрудников в значительной степени зависит от возможностей программного обеспечения, отсутствия сбоев в его работе. В свою очередь уровень комфорта условий труда руководства и персонала банка влияет на производительность труда, степень выполнения миссии банком, эффективность управления банком. Таким образом, создание комфортных условий труда для руководства и персонала непосредственно сказывается на развитии конкурентных преимуществ банка и его инвестиционной привлекательности. |
SHAPE \* MERGEFORMAT
Председатель правления |
Заместитель председатель правления – начальник управления по обеспечению деятельности банка |
Отдел информационных технологий |
Отдел информационных технологий возглавляет Начальник отдела.
Финансовые показатели Отдела информационных технологий представлены в табл. 7
Финансовые показатели
Таблица 7
Финансовые показатели | Отдел информационных технологий |
1.Максимально допустимый объем изымаемых средств клиентов и акционеров банка в результате воздействия рисков, вызываемые последствиями неправомерных или некомпетентных решений отдельных работников. | 0,03% балансовой прибыли |
2.Объем автоматизированных функций (подлежащие автоматизации) в подразделениях банка | 100% функций |
3.Рост производительности труда сотрудников банка в результате автоматизации функций. | 30% |
4.Объем потерь имущества находящегося на складе, в кассе или переданного в эксплуатацию сотрудникам Отдела | от $20 |
5.Количество претензий к деятельности Отдела со стороны руководителей доходных подразделений банка. | 10 претензий |
Количественные и качественные цели, которые необходимо достичь Отделом к 2007 году, выражены в следующих основных показателях:
Функции, возложенные на Отдел информационных технологий, заключаются в:
- оказании полного комплекса услуг, связанных с автоматизацией бизнес-процессов управлений банка, минимизирующих риски, повышающих качество управления банком и создающих условия для комфортной деятельности доходных подразделений банка;
- создании и поддержании психологически комфортной атмосферы в отношениях с клиентами Управления обеспечения деятельности банка и клиентами доходных управлений банка;
Для оценки результатов по выполнению функций, закрепленных за Отделом, ежемесячно, не позднее 10 числа, составляется отчет, где отражается степень достижения количественных и качественных целей. Отчет составляется по форме, утвержденной Председателем Правления Банка.
Функции, направленные на выполнение целей и задач Отделом, сгруппированы и представлены в табл. 8
Функции Отдела информационных технологий
Таблица 8
Функции | Отдел информационных технологий | |
1.Анализ бизнес-процессов, осуществляемых в банке, на предмет возможности их автоматизации с целью повышения производительности труда. | Минимизация риска недостижения целей, операционного риска | |
2.Подготовка предложений по повышению производительности труда в банке методом автоматизации бизнес-процессов | ||
3.Разработка на основании принятых предложений годовых, квартальных планов автоматизации процессов, и представление их руководству управления для утверждения. | ||
4.Реализация утвержденных планов автоматизации процессов. | ||
5.Внесение изменений бизнес-процессы, связанные с их автоматизацией для последующего утверждения. | Минимизация риска потери конкурентоспособности и риска недостижения целей. | |
6.Создание концепции удаленного управления банком и его подразделениями без территориального ограничения | Минимизация риска потери конкурентоспособности и риска недостижения целей. | |
7.Разработка плана реализации и бюджета концепции удаленного управления банком и его подразделениями без территориального ограничения | ||
8.Реализация плана концепции удаленного управления банком и его подразделениями без территориального ограничения. | ||
9.Исходя из стратегических целей банка составление плана и бюджета обеспечения банка программными средствами на 10 лет. |
Прдолжение таблицы 8
Функции | Отдел информационных технологий |
10.Разработка и представление руководству банка директивных и методических документов по использованию программного обеспечения для утверждения. | Минимизация рисков вызываемых последствиями неправомерных или некомпетентных решений отдельных работников и потери репутации банка |
11.Сбор и анализ информации о выявленных персоналом банка ошибках программного обеспечения. Доработка и исправление выявленных ошибок. | Минимизация рисков вызываемых последствиями неправомерных или некомпетентных решений отдельных работников и потери репутации банка |
12.Разработка внутренних стандартов по формированию документов на машинных и бумажных носителях. |
Под рисками банковской деятельности, воздействующими на функции, осуществляемые Отделом, здесь и далее понимается возможность утери ликвидности и (или) финансовых потерь (убытков), связанная с внутренними и внешними факторами, влияющими на деятельность банка.
Контроль над уровнем рисков в Отделе осуществляется по линии административного и финансового контроля. Административный и финансовый контроль осуществляется в предварительном, текущем и последующем порядке.
Административный контроль состоит в обеспечении проведения операций только уполномоченными на то лицами и в строгом соответствии с определенными банком полномочиями и процедурами принятия решений по проведению операций.
Распределение ответственности по регулированию рисков внутри Отдела. Виды рисков
Таблица 9
Виды рисков | Отдел информационных технологий |
Неблагоприятные изменения государственной экономической политики | |
Кредитный риск | |
Риск потери деловой репутации | + |
Правовой риск | + |
Риск несоответствия интересам банка емкости и доходности финансовых рынков | |
Рыночный риск | |
Процентный риск | |
Страновой риск и риск не перевода средств | |
Риски, вызываемые последствиями неправомерных или некомпетентных решений отдельных работников. | + |
Риск потери ликвидности | |
Операционный риск | + |
Валютный риск | |
Риск потери конкурентоспособности | + |
Риск не достижения целей | + |
Административный и финансовый контроль должен с достаточной степенью надежности удостоверить как минимум следующее:
- доступ сотрудников банка к имуществу банка, к осуществлению операций по счетам клиентов и кредиторов допускается только в строгом соответствии с надлежащим образом удостоверенными полномочиями сотрудников;
- операции отражаются в учете в соответствии с установленными Банком России требованиями, реально отражают состояние активов и пассивов банка и обеспечивают составление установленных форм отчетности;
- данные учета активов и пассивов банка надлежащим образом подтверждаются как с точки зрения их охвата, так и с позиций периодичности проверок соответствия, и при наличии отклонений предпринимаются необходимые действия, направленные на ликвидацию расхождений.
Отдел обязан минимизировать риски, возникающие при осуществлении функций, в соответствии с методикой минимизации рисков, утвержденной Председателем Правления банка, нормативными требованиями ЦБ РФ, и здравым смыслом.
В ОАО "АКИБАНК" начата работа по проведению стресс-тестирования Банка. В программном комплексе ИНЭК "Финансовый риск-менеджер" производится ежеквартальное стресс-тестирование Банка для расчета максимальных потерь – капитала под риском (VAR). Методы оценки рисков на основе VAR- анализа позволяют рассчитать с заданной вероятностью максимальные ожидаемые убытки банковского портфеля при условии сохранения текущих рыночных тенденций [30].
Основной методикой стресс-тестирования в ОАО "АКИБАНК" является сценарный анализ, проводимый на основе либо исторических событий, произошедших в прошлом, либо на основе гипотетических событий, которые могут произойти в будущем, и анализ чувствительности портфеля активов Банка к изменению факторов риска, на основании которых рассчитываются максимальные потери банка, которые могут возникнуть при самых неблагоприятных, но вероятных условиях. Сценарный анализ позволяет оценивать не только максимально возможные потери, но и проводить анализ чувствительности финансового результата банковского портфеля к изменению значений факторов риска.
Кредитная организация разрабатывает основные принципы управления операционным риском, определяющие:
- цели и задачи управления операционным риском с учетом приоритетных направлений деятельности кредитной организации;
- основные методы выявления, оценки, мониторинга (постоянного наблюдения) операционного риска;
- основные методы контроля и (или) минимизации операционного риска (принятие мер по поддержанию риска на уровне, не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной организации);
- порядок представления отчетности и обмена информацией по вопросам управления операционным риском;
- распределение полномочий и ответственности между советом директоров (наблюдательным советом) и исполнительными органами за реализацию основных принципов управления операционным риском.
Степень детализации основных принципов управления операционным риском зависит от уровня операционного риска, которому подвергается кредитная организация [11].
Основные принципы управления операционным риском реализуются во внутренних документах кредитной организации, определяющих:
- организационную структуру кредитной организации, разделение и делегирование полномочий, функциональные обязанности, порядок взаимодействия подразделений, служащих и обмена информацией;
- порядок, правила, процедуры совершения банковских операций и других сделок, учетную политику, организацию внутренних процессов;
- правила, порядки и процедуры функционирования систем (технических, информационных и других);
- порядок разработки и представления отчетности и иной информации;
- порядок стимулирования служащих и другие вопросы.
При изменении, разработке и принятии новых внутренних документов кредитной организации необходимо проводить оценку их соответствия основным принципам управления операционным риском [6].
В целях создания условий для эффективного управления операционным риском кредитной организации рекомендуется учредительными и (или) внутренними документами отнести к компетенции совета директоров (наблюдательного совета) следующие вопросы:
- утверждение основных принципов управления операционным риском;
- создание организационной структуры кредитной организации, соответствующей основным принципам управления операционным риском;
- осуществление контроля за полнотой и периодичностью проверок службой внутреннего контроля соблюдения основных принципов управления операционным риском отдельными подразделениями и кредитной организацией в целом;
- утверждение мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности);
- оценка эффективности управления операционным риском;
- контроль за деятельностью исполнительных органов кредитной организации по управлению операционным риском.
На этапе выявления операционного риска особое внимание необходимо обращать на случаи пересечения полномочий и ответственности подразделений, служащих кредитной организации.
Все нововведения, производимые кредитной организацией, - изменения структуры или процедур, внедрение новых услуг и технологий, в том числе с использованием аутсорсинга, освоение новых направлений деятельности - рекомендуется на этапе разработки подвергать тщательному анализу с целью выявления факторов операционного риска [9].
3. Регулирование информационных и телекоммуникационных рисков в системе управления операционным риском кредитных организаций
3.1. Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем
Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы [3]:
- статистический анализ распределения фактических убытков;
- балльно-весовой метод (метод оценочных карт);
- моделирование (сценарный анализ).
Во второй половине 90-х годов компания C & A Systems Security [33] разработала методику и одноименный инструментарий для анализа и управления информационными рисками, получившие название COBRA. Эта методика позволяет выполнить в автоматизированном режиме оценку информационных рисков банка. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.
Из программных комплексов российских производителей можно отметить "Кондор" и "Гриф" производства компании Digital Security [35].Они привлекают простым и понятным пользовательским интерфейсом и сравнительно невысокой ценой. Демонстрационные версии этого программного обеспечения можно бесплатно скачать с сайта производителя. Аудиторам информационной безопасности предлагаются консалтинговые версии данных программных продуктов. Они много дороже своих корпоративных аналогов, зато в их базах содержатся исчерпывающие наборы аналитических данных.
Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков.
В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса (в предположении, что таковой идентифицирован) может назвать стоимость оборудования и носителей, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт[20].
Идентификация угроз.
Для управления рисками требуется идентифицировать возможные опасности, угрожающие обследуемой информационной системе. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. На данном этапе рекомендуется учесть все риски, однако оценивать лишь те, реализация которых возможна исходя из принятой модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя с целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в банке не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.
Расчет информационных рисков.
Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров:
1. стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;
2. мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 — минимальная мера уязвимости (слабое воздействие), 2 — средняя (ресурс подлежит восстановлению), 3 — максимальная (ресурс требует полной замены после реализации угрозы);
3. оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года) и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).
На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):
· оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле:
SLE = AV x EF;
(1)
· итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле:
ALE = SLE x ARO
. (2) Таким образом, конечная формула расчета рисков представляет собой произведение:
ALE = ((AV x EF = SLE) x ARO). (3)
Как видим, большинство из описанных параметров принимается на основе мнения эксперта. Это связано с тем, что количественная оценка вероятности реализации угрозы затруднена ввиду относительной новизны информационных технологий и, как следствие, отсутствия достаточного количества статистических данных. В случае оценки стоимости ресурса (AV) количественная оценка (например, в денежном эквиваленте) чаще всего не проводится, и тогда оценка параметра SLE затруднена [34].
Методики управления рисками.
После проведения первичной оценки рисков полученные значения следует систематизировать по степени важности для выявления низких, средних и высоких рисков. Методика управления рисками подразумевает несколько способов действий. Риск может быть:
- принят (assumption), т. е. пользователь согласен на риск и связанные с ним потери, поэтому работа информационной системы продолжается в обычном режиме;
- снижен (mitigation) — с целью уменьшения величины риска будут приняты определенные меры;
- передан (transference) — компенсацию потенциального ущерба возложат на страховую компанию, либо риск трансформируют в другой риск — с более низким значением — путем внедрения специальных механизмов.
Некоторые методики дополнительно предусматривают еще один способ управления — "упразднение" (avoidance). Он подразумевает принятие мер по ликвидации источника риска. Например, удаление из системы функций, порождающих риск, либо выведение части системы из эксплуатации. Однако, на мой взгляд, такой подход неконструктивен ввиду того, что, если величина риска достаточно велика, порождающий его компонент критичен для информационной системы и, следовательно, не может быть удален. При низких значениях риска данный метод трансформируется в метод снижения риска (mitigation).
После ранжирования рисков определяются требующие первоочередного внимания; основным методом управления такими рисками является снижение, реже — передача. Риски среднего ранга могут передаваться или снижаться наравне с высокими рисками. Риски низшего ранга, как правило, принимаются и исключаются из дальнейшего анализа. Диапазон ранжирования рисков принимается исходя из проведенного расчета их качественных величин. Так, например, если величины рассчитанных рисков лежат в диапазоне от 1 до 18, низкие риски находятся в диапазоне от 1 до 7, средние — в диапазоне от 8 до 13, высокие — в диапазоне от 14 до 18.
Таким образом, управление рисками сводится к снижению величин высоких и средних рисков до характерных для низких рисков значений, при которых возможно их принятие. Снижение величины риска достигается за счет уменьшения одной или нескольких составляющих (AV, EF, SLE) путем принятия определенных мер. В основном это возможно применительно к EF и SLE, так как AV (стоимость ресурса) — фиксированный параметр. Однако возможно и его снижение. Например, если хранящаяся на сервере информация относится к конфиденциальной, но проверка выявила, что гриф "конфиденциально" в силу каких-либо причин может быть снят. В результате стоимость ресурса автоматически уменьшается. В системе Internet-банкинга, например, параметр EF можно уменьшить путем фиксации ответственности сторон в договорном порядке. В этом случае считается, что стороны предупреждены об ответственности, которую может повлечь за собой нарушение правил эксплуатации системы, и, таким образом, фактор уязвимости снижается [27].
Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.
Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.
Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации, а также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации "Актив" может выступать в качестве главного).
Этапами анализа информационных рисков являются:
• классификация информационных ресурсов по критериям безопасности;
• оценка стоимости ресурсов;
• анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;
• определение перечня возможных атак на объект защиты и механизмов их реализации;
• оценивание возможного ущерба и последствий реализации угроз;
• формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками;
• выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.
Результат выполнения:
• отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков банка и прогнозом их реализации.
• результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.
Оценка информационных рисков.
Развитие ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.
Точно определить возможный ущерб от большинства информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.
Обозначим основные статьи расходов, которые несет банк в процессе создания и эксплуатации системы риск-менеджмента.
1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.
2. Подбор, приобретение и внедрение программного обеспечения (ПО).
3. Регламентирование бизнес-процессов.
4. Поддержание технологии в актуальном состоянии.
5. Ведение данных.
6. Сопровождение ПО.
Все эти затраты могут быть оценены количественно — в денежном выражении или в трудозатратах.
Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.
Разработка и реализация политики по минимизации информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной [16].
Страхование рисков как элемент управления.
В качестве одного из основных экономических методов управления информационными рисками, предлагается "создание системы страхования информационных рисков физических и юридических лиц" [2]. Страхование как таковое не снижает риски, однако уменьшает финансовые потери страхователя при наступлении страхового случая. Несмотря на то что эта эффективнейшая система управления информационными рисками юридически декларирована в России довольно давно, рынок услуг страхования на сегодняшней день еще не сформировался - в основном из-за отсутствия хорошо зарекомендовавших себя методов оценки их стоимости.
Как в мировой, так и в российской практике непосредственно информация страхуется в размере расходов, необходимых для ее восстановления. При таком подходе страховая компания возмещает расходы на оплату сверхурочной работы сотрудников банка, привлечение специалистов сторонних организаций, а также другие целесообразные расходы, направленные на восстановление утраченной информации. Но страхование информационных рисков не может сводиться только к страхованию информации. Должны страховаться вообще риски, связанные с информационными технологиями, а к ним относятся риски утраты финансовых активов, риски остановки коммерческой деятельности, риски, связанные с возникновением гражданской ответственности. Прежде всего это страхование от преступлений в сфере информационных технологий: действий компьютерных вирусов, несанкционированного доступа к информации, кражи или непреднамеренной утраты носителей информации, финансового мошенничества с использованием информационных технологий. Объектами страхования в этом случае могут быть:
финансовые активы в электронной форме, в том числе в системах клиент-банк;
- биллинговые системы;
- центры сертификации (удостоверяющие центры);
- Web-серверы, в том числе виртуальные;
- ERP-системы и средства защиты;
- базы данных на любых носителях информации;
- ценная информация, для которой существует вероятность утраты без возможности восстановления.
Исходя из приведенной классификации рисков и учитывая, что информация принадлежит к одному из видов объектов гражданских прав, а следовательно, к системе товарных и имущественных отношений (ст. 128; ст. 129; ст. 139 Гражданского кодекса РФ № 51-ФЗ от 30 ноября 1994 г. с изм. и доп.), можно сделать вывод, что информационные риски относятся к чистым, имущественным, производственным рискам.
Информационные риски выступают объектом страхования имущественных интересов юридических и физических лиц, связанных с владением, распространением, пользованием и распоряжением информацией. Это может быть как имущественное страхование (связанное с владением, пользованием, распоряжением информацией как объектом гражданских прав), так и страхование ответственности (связанной с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу). Например, возможно страхование ответственности, возникающей в связи с перерывами в деятельности банка; плохой технической поддержкой клиентов (убытки клиентов в виде неполученной прибыли по причине нарушений в каналах связи); недостаточными мерами по защите данных, принадлежащих третьим лицам; непреднамеренным разглашением конфиденциальной информации; ошибками в программных продуктах, вследствие которых наносится ущерб пользователям[13].
Страхование предполагает последовательное выполнение нескольких обязательных шагов:
· поиск страховой компании;
· согласование условий и предложений по страхованию;
· проведение экспертизы страхователя;
· выполнение рекомендаций, полученных в результате экспертизы;
· подписание договора о страховании.
3.2 Рекомендации по организации управления операционным риском в ОАО "АКИБАНК"
Одна из самых ярких современных тенденций в банковском деле переход к электронному способу ведения бизнеса, кардинальным образом изменяющему соотношение между различными видами риска, с которыми сталкиваются банки [24].
Подводя итоги вышеизложенного, можно отметить следующие основные черты, присущие сфере электронных банковских услуг и оказывающие важное влияние на соотношение отдельных категорий банковского риска:
- выход за пределы отдельных стран и за пределы финансового сектора в целом, требующий сотрудничества учреждений банковского надзора с надзорными органами других стран и отраслей;
- сильная зависимость от прогресса информационных и коммуникационных технологий, что приводит к резкому увеличению стратегических и операционных рисков;
- динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий) и, следовательно, в повышении значения стратегического риска;
- рост ориентированности на клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами), что ведет к увеличению правового и репутационного рисков;
- обострение конкуренции в банковском бизнесе, влекущее за собой повышение общего уровня системного риска.
Рекомендации по управлению информационными рисками. Корректируя корпоративную политику информационной безопасности и оптимизируя архитектуру информационной системы банка с точки зрения повышения защищенности информационной системы, внедрение рекомендаций позволяет повысить эффективность системы управления ИБ и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.
Рекомендации по контролю за текущим уровнем риска. Осуществляя контроль за выполнением мер и требований по обеспечению информационной безопасности, а также уровнем информационного риска критически важных компонентов системы, внедрение рекомендаций обеспечивает не только соблюдение минимального уровня информационных рисков, но и помогает оценить эффективность мероприятий по защите информации.
Кредитным организациям рекомендуется на регулярной основе пересматривать существующие внутренние процессы и процедуры, используемые информационно-технологические системы с целью выявления не учтенных ранее источников операционного риска.
Кредитным организациям рекомендуется уделять особое внимание обеспечению сохранности и возможности восстановления информационных систем и ресурсов. Помещение для установки резервного оборудования или оборудования, на которое должно производиться резервное копирование информации, рекомендуется выбирать так, чтобы минимизировать риск одновременной утраты первичной и резервной копии данных или одновременного выхода из строя основного и резервного оборудования.
Кредитным организациям рекомендуется наряду с ведением аналитической базы данных о понесенных операционных убытках на постоянной основе с использованием различных источников собирать и анализировать информацию о случаях операционных убытков в других кредитных и финансовых организациях.
Кредитным организациям рекомендуется регулярно производить оценку операционного риска в целом по кредитной организации и его распределения в разрезе направлений деятельности кредитной организации, внутренних процессов, информационно-технологических систем и банковских продуктов, составляющих эти направления деятельности.
Кредитной организации рекомендуется определять периодичность осуществления мониторинга операционного риска на основе его существенности для соответствующего направления деятельности, внутреннего процесса или информационно-технологической системы.
В качестве индикаторов уровня операционного риска могут быть использованы сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты и (или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени (продолжительности) простоя информационно-технологических систем и других показателях.
Контроль над уровнем рисков в Отделе должен быть направлен на ограничение рисков, принимаемых банком, и на обеспечение порядка проведения операций и сделок, который способствует достижению установленных банком целей и задач, при соблюдении требований законодательства, нормативных актов Банка России, стандартов профессиональной деятельности и правил деловых обычаев.
Как показывает опыт многих российских банков, наиболее успешные стратегии предупреждения информационных и телекоммуникационных рисков (IT-рисков) базируются на трех основных правилах.
Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.
Правило № 2. Банк должен контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.
Правило № 3. Информационные системы, от которых напрямую зависит деятельность банка (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации [12].
Для обеспечения необходимой защиты от информационных и телекоммуникационных рисков и контроля безопасности можно провести следующие мероприятия.
1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение информационных и телекоммуникационных рисков (IT-рисков), а также обеспечить резервные мощности для работы в критической ситуации.
2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.
3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5. Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:
· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления банка;
· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.
Если бизнес банка во многом зависит от состояния ее информационных сетей, необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре банка (например, заместитель по безопасности).
Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.
Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.
Приоритеты и перспективы развития ОАО "АКИБАНК"на 2007 год.
В своей деятельности Банк концентрируется на высокодоходный и динамично развивающихся сферах бизнеса, постоянно модернизирует свою операционную платформу, внедряет новейшие банковские технологии и постоянно расширяет спектр предоставляемых Банком услуг.
В 2007 году планируется разработать и внедрить программу кредитования среднего и малого бизнеса, суть которой состоит в предоставлении клиентам гибких схем кредитования с учетом специфики их бизнеса и отраслевых особенностей. Финансово устойчивые и надежные клиенты смогут в более короткие сроки получать беззалоговые или частично обеспеченные кредиты. Деятельность Банка в сфере организационного развития в 2007 году будет направлена главным образом на достижение следующих целей:
- повышение роли автоматизации и высоких технологий;
- разработка, создание дополнительных механизмов контроля банковских рисков;
- развитие механизмов эффективного управления бизнес-процессами.
- увеличение уставного капитала до 1 570 000 тыс.рублей;
- темпы роста по основным показателям в диапазоне 123% - 160%, что соответствует достигнутым темпам роста за 2006 год;
Заключение
Обеспечение информационной безопасности — одна из главных задач современного банка. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждого банка, а также неограниченный доступ сотрудников к информации.
Работа по минимизации информационных и телекоммуникационных рисков (IT-рисков) заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
Под термином "Регулирование информационных и телекоммуникационных рисков" обычно понимают комплекс мер по идентификации, анализу и устранению выявленных в структуре информационной безопасности недостатков, которые связаны с разработкой, эксплуатацией и утилизацией информационно-вычислительных комплексов, в соответствии с существующей нормативно-правовой базой и корпоративной политикой безопасности.
Этот процесс можно разбить на следующие этапы:
· определение и оценка информационных рисков;
· выбор и применение контрмер, структурированных по уровням: административному, процедурному, программно-техническому;
· финансирование рисков;
· контроль рисков на всех этапах жизненного цикла.
Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.
Для регулирования и обеспечения необходимой защиты от информационных и телекоммуникационных рисков (IT-рисков) и контроля безопасности можно провести следующие мероприятия:
1.Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.
3.Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4.Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5.Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:
· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например, составить и ознакомить персонал с планом преемственности управления в кредитной организации;
· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.
Применение политики информационной безопасности и оптимизация структуры информационной системы с точки зрения повышения защищенности, внедрение рекомендаций позволит повысить эффективность системы управления информационной безопасностью и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.
Осуществляя контроль за выполнением мер и требований по обеспечению информационной безопасности, а также уровнем информационного риска критически важных компонентов системы, внедрение рекомендаций обеспечивает соблюдение минимального уровня информационных рисков.
Сформировавшаяся в России правовая и нормативная база позволяет проводить анализ и управление информационными рисками на уровне ведущих мировых стандартов. Хочется надеяться, что с введением в обращение российских аналогов стандартов ISO 17799:2005, ISO 27000, ISO 9000 и им подобных будут наконец-то востребованы и такие виды управления информационными рисками, как страхование. Предпосылками этого могут стать недавние громкие скандалы, связанные с хищением информации личного характера из различных учреждений. Гораздо дешевле учиться на чужих ошибках, чем на своих. Следовательно, лучший мировой опыт (в виде практических рекомендаций и стандартов) необходимо адаптировать и применять в России, тем более что все правовые условия для этого созданы.
Список использованных источников
I. Нормативно-правовые источники
1. Федеральный Закон "О банках и банковской деятельности" от 2 декабря 1990 г. № 395-1 (ред. 08.07.1999 №136 - ФЗ).
2. Федеральный закон "О техническом регулировании" (№ 184-ФЗ от 27 декабря 2002 г.).
4. Банки и банковские операции: Учебник для вузов / Е.Ф.Жуков, Л.М.Максимова, О.М.Маркова и др.; Под ред. Е.Ф.Жукова.-М.: Банки и биржи: ЮНИТИ, 2005.
5. Банковское дело: Учебник для вузов / Под ред. Е.Ф.Жукова, Н.Д.Эриашвилию.-2-е изд.-М.:ЮНИТИ-ДАНА:Единство,2006.
6. Батракова Л.Г. Экономический анализ деятельности коммерческих банков. – М.: Логос, 2004. – 344с.
7. Бланк И.А. Управление прибылью. -2-е изд., расш. и доп. – Киев: Ника – Центр: Эльга, 2002.
8. ГалатенкоВ.А. "Стандарты информационной безопасности". Курс лекций /под. ред. академика РАН В. Б. Бетелина. М. Университет информационных технологий, 2004.
9. Глушкова Н.Б. Банковское дело: Учеб. Пособие / Н.Б.Глушкова.-М.: Экономический проект: Альма Матер, 2005.
10. Годовой отчет ОАО "АКИБАНК" за 2006 год.
11. Деньги, кредит, банки: Учебник / Под ред. Жукова Е.Ф. М.: ЮНИТИ, 2003.
12. Дробозина Л.А. Финансы. Денежное обращение. Кредит. –М.:ЮНИТИ-ДАНА, 2006.
13. Ильясов С.М. Устойчивость банковской системы: механизмы управления, региональные особенности. – М.: ЮНИТИ-ДАНА, 2001. – 255с.
14. Информационные технологии управления / Под ред. Г.А.Титоренко. М.:ЮНИТИ-ДАНА, 2003.
15. Киселев В.В. Управление коммерческим банком в переходный период. – М.: Логос, 2001. – 144с.
16. Левашов М.А. Об информационной безопасности операторского класса // Connect. Мир связи.-2007.№2. –С.132-134.
17. Никулина И.Ю. Формулирование общих целей управления банковской деятельностью // Консультант директора. – 2003. №5(185). – с.29-34.
18. Покровский П.С. Оценка информационных рисков: Защита информации // Журнал сетевых решений.-2004.-№10.-С.90-95.
29. Поморина М.В. Некоторые подходы к управлению банковскими рисками // Банковское дело. – 2004. - №10. – с.11-16.
20. Петренко С.А. "Управление информационными рисками. Экономически оправданная безопасность". ДМК Пресс, 2005, 384 с.
21. Рогачев А.М. Человеческий фактор в операционных рисках: Банковские риски // Управление финансовыми рисками.-2007.-№1, апрель.-С.78-83.
22. Симонов С.А. статья "Анализ рисков, управления рисками" (Jet Info, 1999, 1).
23. Управление деятельностью коммерческого банка (банковский менеджмент) / Под ред. Лаврушина О.И. – М.: Юристъ, 2003. – 688с.
24. Уткин З.А. стратегический менеджмент: способы выживания российских банков. – М.: Фонд экономического просвещения, 2003. – 180с.
25. Щегорцов В.А. Деньги, кредит, банки: Учебник для вузов / В.А.Щегорцов, В.А.Таран; Под ред. В.А.Щегорцова.-М.: ЮНИТИ-ДАНА, 2005.
26. Экономическая теория: Учебник для экономических вузов / Под ред. О.С.Белокрыловой. -Ростов н/Д: Феникс, 2006.
27. Экономическая теория: Учебник для вузов / Под ред. В.И.Видяпина, Г.П.Журавлевой.-4-е изд.- М.:ИНФРА-М, 2005.
28. www.akibank.ru
29. www.bankir.ru
30. www.garant.ru
31. www.koncultantpluc.ru
32. www.bankdelo.ru
33. http://www.riskworld.net
34. http://www.riskwatch.com
35. http://www.dsec.ru
Результат выполнения:
• отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков банка и прогнозом их реализации.
• результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.
Оценка информационных рисков.
Развитие ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.
Точно определить возможный ущерб от большинства информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.
Обозначим основные статьи расходов, которые несет банк в процессе создания и эксплуатации системы риск-менеджмента.
1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.
2. Подбор, приобретение и внедрение программного обеспечения (ПО).
3. Регламентирование бизнес-процессов.
4. Поддержание технологии в актуальном состоянии.
5. Ведение данных.
6. Сопровождение ПО.
Все эти затраты могут быть оценены количественно — в денежном выражении или в трудозатратах.
Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.
Разработка и реализация политики по минимизации информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной [16].
Страхование рисков как элемент управления.
В качестве одного из основных экономических методов управления информационными рисками, предлагается "создание системы страхования информационных рисков физических и юридических лиц" [2]. Страхование как таковое не снижает риски, однако уменьшает финансовые потери страхователя при наступлении страхового случая. Несмотря на то что эта эффективнейшая система управления информационными рисками юридически декларирована в России довольно давно, рынок услуг страхования на сегодняшней день еще не сформировался - в основном из-за отсутствия хорошо зарекомендовавших себя методов оценки их стоимости.
Как в мировой, так и в российской практике непосредственно информация страхуется в размере расходов, необходимых для ее восстановления. При таком подходе страховая компания возмещает расходы на оплату сверхурочной работы сотрудников банка, привлечение специалистов сторонних организаций, а также другие целесообразные расходы, направленные на восстановление утраченной информации. Но страхование информационных рисков не может сводиться только к страхованию информации. Должны страховаться вообще риски, связанные с информационными технологиями, а к ним относятся риски утраты финансовых активов, риски остановки коммерческой деятельности, риски, связанные с возникновением гражданской ответственности. Прежде всего это страхование от преступлений в сфере информационных технологий: действий компьютерных вирусов, несанкционированного доступа к информации, кражи или непреднамеренной утраты носителей информации, финансового мошенничества с использованием информационных технологий. Объектами страхования в этом случае могут быть:
финансовые активы в электронной форме, в том числе в системах клиент-банк;
- биллинговые системы;
- центры сертификации (удостоверяющие центры);
- Web-серверы, в том числе виртуальные;
- ERP-системы и средства защиты;
- базы данных на любых носителях информации;
- ценная информация, для которой существует вероятность утраты без возможности восстановления.
Исходя из приведенной классификации рисков и учитывая, что информация принадлежит к одному из видов объектов гражданских прав, а следовательно, к системе товарных и имущественных отношений (ст. 128; ст. 129; ст. 139 Гражданского кодекса РФ № 51-ФЗ от 30 ноября 1994 г. с изм. и доп.), можно сделать вывод, что информационные риски относятся к чистым, имущественным, производственным рискам.
Информационные риски выступают объектом страхования имущественных интересов юридических и физических лиц, связанных с владением, распространением, пользованием и распоряжением информацией. Это может быть как имущественное страхование (связанное с владением, пользованием, распоряжением информацией как объектом гражданских прав), так и страхование ответственности (связанной с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу). Например, возможно страхование ответственности, возникающей в связи с перерывами в деятельности банка; плохой технической поддержкой клиентов (убытки клиентов в виде неполученной прибыли по причине нарушений в каналах связи); недостаточными мерами по защите данных, принадлежащих третьим лицам; непреднамеренным разглашением конфиденциальной информации; ошибками в программных продуктах, вследствие которых наносится ущерб пользователям[13].
Страхование предполагает последовательное выполнение нескольких обязательных шагов:
· поиск страховой компании;
· согласование условий и предложений по страхованию;
· проведение экспертизы страхователя;
· выполнение рекомендаций, полученных в результате экспертизы;
· подписание договора о страховании.
3.2 Рекомендации по организации управления операционным риском в ОАО "АКИБАНК"
Одна из самых ярких современных тенденций в банковском деле переход к электронному способу ведения бизнеса, кардинальным образом изменяющему соотношение между различными видами риска, с которыми сталкиваются банки [24].
Подводя итоги вышеизложенного, можно отметить следующие основные черты, присущие сфере электронных банковских услуг и оказывающие важное влияние на соотношение отдельных категорий банковского риска:
- выход за пределы отдельных стран и за пределы финансового сектора в целом, требующий сотрудничества учреждений банковского надзора с надзорными органами других стран и отраслей;
- сильная зависимость от прогресса информационных и коммуникационных технологий, что приводит к резкому увеличению стратегических и операционных рисков;
- динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий) и, следовательно, в повышении значения стратегического риска;
- рост ориентированности на клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами), что ведет к увеличению правового и репутационного рисков;
- обострение конкуренции в банковском бизнесе, влекущее за собой повышение общего уровня системного риска.
Рекомендации по управлению информационными рисками. Корректируя корпоративную политику информационной безопасности и оптимизируя архитектуру информационной системы банка с точки зрения повышения защищенности информационной системы, внедрение рекомендаций позволяет повысить эффективность системы управления ИБ и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.
Рекомендации по контролю за текущим уровнем риска. Осуществляя контроль за выполнением мер и требований по обеспечению информационной безопасности, а также уровнем информационного риска критически важных компонентов системы, внедрение рекомендаций обеспечивает не только соблюдение минимального уровня информационных рисков, но и помогает оценить эффективность мероприятий по защите информации.
Кредитным организациям рекомендуется на регулярной основе пересматривать существующие внутренние процессы и процедуры, используемые информационно-технологические системы с целью выявления не учтенных ранее источников операционного риска.
Кредитным организациям рекомендуется уделять особое внимание обеспечению сохранности и возможности восстановления информационных систем и ресурсов. Помещение для установки резервного оборудования или оборудования, на которое должно производиться резервное копирование информации, рекомендуется выбирать так, чтобы минимизировать риск одновременной утраты первичной и резервной копии данных или одновременного выхода из строя основного и резервного оборудования.
Кредитным организациям рекомендуется наряду с ведением аналитической базы данных о понесенных операционных убытках на постоянной основе с использованием различных источников собирать и анализировать информацию о случаях операционных убытков в других кредитных и финансовых организациях.
Кредитным организациям рекомендуется регулярно производить оценку операционного риска в целом по кредитной организации и его распределения в разрезе направлений деятельности кредитной организации, внутренних процессов, информационно-технологических систем и банковских продуктов, составляющих эти направления деятельности.
Кредитной организации рекомендуется определять периодичность осуществления мониторинга операционного риска на основе его существенности для соответствующего направления деятельности, внутреннего процесса или информационно-технологической системы.
В качестве индикаторов уровня операционного риска могут быть использованы сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты и (или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени (продолжительности) простоя информационно-технологических систем и других показателях.
Контроль над уровнем рисков в Отделе должен быть направлен на ограничение рисков, принимаемых банком, и на обеспечение порядка проведения операций и сделок, который способствует достижению установленных банком целей и задач, при соблюдении требований законодательства, нормативных актов Банка России, стандартов профессиональной деятельности и правил деловых обычаев.
Как показывает опыт многих российских банков, наиболее успешные стратегии предупреждения информационных и телекоммуникационных рисков (IT-рисков) базируются на трех основных правилах.
Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.
Правило № 2. Банк должен контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.
Правило № 3. Информационные системы, от которых напрямую зависит деятельность банка (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации [12].
Для обеспечения необходимой защиты от информационных и телекоммуникационных рисков и контроля безопасности можно провести следующие мероприятия.
1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение информационных и телекоммуникационных рисков (IT-рисков), а также обеспечить резервные мощности для работы в критической ситуации.
2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.
3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5. Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:
· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления банка;
· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.
Если бизнес банка во многом зависит от состояния ее информационных сетей, необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре банка (например, заместитель по безопасности).
Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.
Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.
Приоритеты и перспективы развития ОАО "АКИБАНК"на 2007 год.
В своей деятельности Банк концентрируется на высокодоходный и динамично развивающихся сферах бизнеса, постоянно модернизирует свою операционную платформу, внедряет новейшие банковские технологии и постоянно расширяет спектр предоставляемых Банком услуг.
В 2007 году планируется разработать и внедрить программу кредитования среднего и малого бизнеса, суть которой состоит в предоставлении клиентам гибких схем кредитования с учетом специфики их бизнеса и отраслевых особенностей. Финансово устойчивые и надежные клиенты смогут в более короткие сроки получать беззалоговые или частично обеспеченные кредиты. Деятельность Банка в сфере организационного развития в 2007 году будет направлена главным образом на достижение следующих целей:
- повышение роли автоматизации и высоких технологий;
- разработка, создание дополнительных механизмов контроля банковских рисков;
- развитие механизмов эффективного управления бизнес-процессами.
- увеличение уставного капитала до 1 570 000 тыс.рублей;
- темпы роста по основным показателям в диапазоне 123% - 160%, что соответствует достигнутым темпам роста за 2006 год;
Заключение
Обеспечение информационной безопасности — одна из главных задач современного банка. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждого банка, а также неограниченный доступ сотрудников к информации.
Работа по минимизации информационных и телекоммуникационных рисков (IT-рисков) заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
Под термином "Регулирование информационных и телекоммуникационных рисков" обычно понимают комплекс мер по идентификации, анализу и устранению выявленных в структуре информационной безопасности недостатков, которые связаны с разработкой, эксплуатацией и утилизацией информационно-вычислительных комплексов, в соответствии с существующей нормативно-правовой базой и корпоративной политикой безопасности.
Этот процесс можно разбить на следующие этапы:
· определение и оценка информационных рисков;
· выбор и применение контрмер, структурированных по уровням: административному, процедурному, программно-техническому;
· финансирование рисков;
· контроль рисков на всех этапах жизненного цикла.
Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.
Для регулирования и обеспечения необходимой защиты от информационных и телекоммуникационных рисков (IT-рисков) и контроля безопасности можно провести следующие мероприятия:
1.Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.
3.Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4.Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5.Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:
· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например, составить и ознакомить персонал с планом преемственности управления в кредитной организации;
· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.
Применение политики информационной безопасности и оптимизация структуры информационной системы с точки зрения повышения защищенности, внедрение рекомендаций позволит повысить эффективность системы управления информационной безопасностью и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.
Осуществляя контроль за выполнением мер и требований по обеспечению информационной безопасности, а также уровнем информационного риска критически важных компонентов системы, внедрение рекомендаций обеспечивает соблюдение минимального уровня информационных рисков.
Сформировавшаяся в России правовая и нормативная база позволяет проводить анализ и управление информационными рисками на уровне ведущих мировых стандартов. Хочется надеяться, что с введением в обращение российских аналогов стандартов ISO 17799:2005, ISO 27000, ISO 9000 и им подобных будут наконец-то востребованы и такие виды управления информационными рисками, как страхование. Предпосылками этого могут стать недавние громкие скандалы, связанные с хищением информации личного характера из различных учреждений. Гораздо дешевле учиться на чужих ошибках, чем на своих. Следовательно, лучший мировой опыт (в виде практических рекомендаций и стандартов) необходимо адаптировать и применять в России, тем более что все правовые условия для этого созданы.
Список использованных источников
I. Нормативно-правовые источники
1. Федеральный Закон "О банках и банковской деятельности" от 2 декабря 1990 г. № 395-1 (ред. 08.07.1999 №136 - ФЗ).
2. Федеральный закон "О техническом регулировании" (№ 184-ФЗ от 27 декабря 2002 г.).
3. Письмо "Об Организации управления операционным риском в кредитных организациях" от 24 мая 2005 г. N 76-Т.
II. Научная и специальная литература4. Банки и банковские операции: Учебник для вузов / Е.Ф.Жуков, Л.М.Максимова, О.М.Маркова и др.; Под ред. Е.Ф.Жукова.-М.: Банки и биржи: ЮНИТИ, 2005.
5. Банковское дело: Учебник для вузов / Под ред. Е.Ф.Жукова, Н.Д.Эриашвилию.-2-е изд.-М.:ЮНИТИ-ДАНА:Единство,2006.
6. Батракова Л.Г. Экономический анализ деятельности коммерческих банков. – М.: Логос, 2004. – 344с.
7. Бланк И.А. Управление прибылью. -2-е изд., расш. и доп. – Киев: Ника – Центр: Эльга, 2002.
8. ГалатенкоВ.А. "Стандарты информационной безопасности". Курс лекций /под. ред. академика РАН В. Б. Бетелина. М. Университет информационных технологий, 2004.
9. Глушкова Н.Б. Банковское дело: Учеб. Пособие / Н.Б.Глушкова.-М.: Экономический проект: Альма Матер, 2005.
10. Годовой отчет ОАО "АКИБАНК" за 2006 год.
11. Деньги, кредит, банки: Учебник / Под ред. Жукова Е.Ф. М.: ЮНИТИ, 2003.
12. Дробозина Л.А. Финансы. Денежное обращение. Кредит. –М.:ЮНИТИ-ДАНА, 2006.
13. Ильясов С.М. Устойчивость банковской системы: механизмы управления, региональные особенности. – М.: ЮНИТИ-ДАНА, 2001. – 255с.
14. Информационные технологии управления / Под ред. Г.А.Титоренко. М.:ЮНИТИ-ДАНА, 2003.
15. Киселев В.В. Управление коммерческим банком в переходный период. – М.: Логос, 2001. – 144с.
16. Левашов М.А. Об информационной безопасности операторского класса // Connect. Мир связи.-2007.№2. –С.132-134.
17. Никулина И.Ю. Формулирование общих целей управления банковской деятельностью // Консультант директора. – 2003. №5(185). – с.29-34.
18. Покровский П.С. Оценка информационных рисков: Защита информации // Журнал сетевых решений.-2004.-№10.-С.90-95.
29. Поморина М.В. Некоторые подходы к управлению банковскими рисками // Банковское дело. – 2004. - №10. – с.11-16.
20. Петренко С.А. "Управление информационными рисками. Экономически оправданная безопасность". ДМК Пресс, 2005, 384 с.
21. Рогачев А.М. Человеческий фактор в операционных рисках: Банковские риски // Управление финансовыми рисками.-2007.-№1, апрель.-С.78-83.
22. Симонов С.А. статья "Анализ рисков, управления рисками" (Jet Info, 1999, 1).
23. Управление деятельностью коммерческого банка (банковский менеджмент) / Под ред. Лаврушина О.И. – М.: Юристъ, 2003. – 688с.
24. Уткин З.А. стратегический менеджмент: способы выживания российских банков. – М.: Фонд экономического просвещения, 2003. – 180с.
25. Щегорцов В.А. Деньги, кредит, банки: Учебник для вузов / В.А.Щегорцов, В.А.Таран; Под ред. В.А.Щегорцова.-М.: ЮНИТИ-ДАНА, 2005.
26. Экономическая теория: Учебник для экономических вузов / Под ред. О.С.Белокрыловой. -Ростов н/Д: Феникс, 2006.
27. Экономическая теория: Учебник для вузов / Под ред. В.И.Видяпина, Г.П.Журавлевой.-4-е изд.- М.:ИНФРА-М, 2005.
28. www.akibank.ru
29. www.bankir.ru
30. www.garant.ru
31. www.koncultantpluc.ru
32. www.bankdelo.ru
33. http://www.riskworld.net
34. http://www.riskwatch.com
35. http://www.dsec.ru