Управление операционным риском

Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

Правило № 2. Банк должен контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

Правило № 3. Информационные системы, от которых напрямую зависит деятельность банка (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации [12].

Для обеспечения необходимой защиты от информационных и телекоммуникационных рисков и контроля безопасности можно провести следующие мероприятия.

1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение информационных и телекоммуникационных рисков (IT-рисков), а также обеспечить резервные мощности для работы в критической ситуации.

2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.

3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.

4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.

5. Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:

· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;

· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления банка;

· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.

Если бизнес банка во многом зависит от состояния ее информационных сетей, необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре банка (например, заместитель по безопасности).

Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

Приоритеты и перспективы развития ОАО "АКИБАНК"на 2007 год.

В своей деятельности Банк концентрируется на высокодоходный и динамично развивающихся сферах бизнеса, постоянно модернизирует свою операционную платформу, внедряет новейшие банковские технологии и постоянно расширяет спектр предоставляемых Банком услуг.

В 2007 году планируется разработать и внедрить программу кредитования среднего и малого бизнеса, суть которой состоит в предоставлении клиентам гибких схем кредитования с учетом специфики их бизнеса и отраслевых особенностей. Финансово устойчивые и надежные клиенты смогут в более короткие сроки получать беззалоговые или частично обеспеченные кредиты. Деятельность Банка в сфере организационного развития в 2007 году будет направлена главным образом на достижение следующих целей:

- повышение роли автоматизации и высоких технологий;

- разработка, создание дополнительных механизмов контроля банковских рисков;

- развитие механизмов эффективного управления бизнес-процессами.

- увеличение уставного капитала до 1 570 000 тыс.рублей;

- темпы роста по основным показателям в диапазоне 123% - 160%, что соответствует достигнутым темпам роста за 2006 год;

Заключение

Обеспечение информационной безопасности -- одна из главных задач современного банка. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждого банка, а также неограниченный доступ сотрудников к информации.

Работа по минимизации информационных и телекоммуникационных рисков (IT-рисков) заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

Под термином "Регулирование информационных и телекоммуникационных рисков" обычно понимают комплекс мер по идентификации, анализу и устранению выявленных в структуре информационной безопасности недостатков, которые связаны с разработкой, эксплуатацией и утилизацией информационно-вычислительных комплексов, в соответствии с существующей нормативно-правовой базой и корпоративной политикой безопасности.

Этот процесс можно разбить на следующие этапы:

· определение и оценка информационных рисков;

· выбор и применение контрмер, структурированных по уровням: административному, процедурному, программно-техническому;

· финансирование рисков;

· контроль рисков на всех этапах жизненного цикла.

Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.

Для регулирования и обеспечения необходимой защиты от информационных и телекоммуникационных рисков (IT-рисков) и контроля безопасности можно провести следующие мероприятия:

1.Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.

2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.

3.Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.

4.Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.

5.Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:

· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;

· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например, составить и ознакомить персонал с планом преемственности управления в кредитной организации;

· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.

Применение политики информационной безопасности и оптимизация структуры информационной системы с точки зрения повышения защищенности, внедрение рекомендаций позволит повысить эффективность системы управления информационной безопасностью и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.

Осуществляя контроль за выполнением мер и требований по обеспечению информационной безопасности, а также уровнем информационного риска критически важных компонентов системы, внедрение рекомендаций обеспечивает соблюдение минимального уровня информационных рисков.

Сформировавшаяся в России правовая и нормативная база позволяет проводить анализ и управление информационными рисками на уровне ведущих мировых стандартов. Хочется надеяться, что с введением в обращение российских аналогов стандартов ISO 17799:2005, ISO 27000, ISO 9000 и им подобных будут наконец-то востребованы и такие виды управления информационными рисками, как страхование. Предпосылками этого могут стать недавние громкие скандалы, связанные с хищением информации личного характера из различных учреждений. Гораздо дешевле учиться на чужих ошибках, чем на своих. Следовательно, лучший мировой опыт (в виде практических рекомендаций и стандартов) необходимо адаптировать и применять в России, тем более что все правовые условия для этого созданы.

Список использованных источников

I. Нормативно-правовые источники

1. Федеральный Закон "О банках и банковской деятельности" от 2 декабря 1990 г. № 395-1 (ред. 08.07.1999 №136 - ФЗ).

2. Федеральный закон "О техническом регулировании" (№ 184-ФЗ от 27 декабря 2002 г.).

3. Письмо "Об Организации управления операционным риском в кредитных организациях" от 24 мая 2005 г. N 76-Т.

II. Научная и специальная литература

4. Банки и банковские операции: Учебник для вузов / Е.Ф.Жуков, Л.М.Максимова, О.М.Маркова и др.; Под ред. Е.Ф.Жукова.-М.: Банки и биржи: ЮНИТИ, 2005.

5. Банковское дело: Учебник для вузов / Под ред. Е.Ф.Жукова, Н.Д.Эриашвилию.-2-е изд.-М.:ЮНИТИ-ДАНА:Единство,2006.

6. Батракова Л.Г. Экономический анализ деятельности коммерческих банков. - М.: Логос, 2004. - 344с.

7. Бланк И.А. Управление прибылью. -2-е изд., расш. и доп. - Киев: Ника - Центр: Эльга, 2002.

8. ГалатенкоВ.А. "Стандарты информационной безопасности". Курс лекций /под. ред. академика РАН В. Б. Бетелина. М. Университет информационных технологий, 2004.

9. Глушкова Н.Б. Банковское дело: Учеб. Пособие / Н.Б.Глушкова.-М.: Экономический проект: Альма Матер, 2005.

10. Годовой отчет ОАО "АКИБАНК" за 2006 год.

11. Деньги, кредит, банки: Учебник / Под ред. Жукова Е.Ф. М.: ЮНИТИ, 2003.

12. Дробозина Л.А. Финансы. Денежное обращение. Кредит. -М.:ЮНИТИ-ДАНА, 2006.

13. Ильясов С.М. Устойчивость банковской системы: механизмы управления, региональные особенности. - М.: ЮНИТИ-ДАНА, 2001. - 255с.

14. Информационные технологии управления / Под ред. Г.А.Титоренко. М.:ЮНИТИ-ДАНА, 2003.

15. Киселев В.В. Управление коммерческим банком в переходный период. - М.: Логос, 2001. - 144с.

16. Левашов М.А. Об информационной безопасности операторского класса // Connect. Мир связи.-2007.№2. -С.132-134.

17. Никулина И.Ю. Формулирование общих целей управления банковской деятельностью // Консультант директора. - 2003. №5(185). - с.29-34.

18. Покровский П.С. Оценка информационных рисков: Защита информации // Журнал сетевых решений.-2004.-№10.-С.90-95.

29. Поморина М.В. Некоторые подходы к управлению банковскими рисками // Банковское дело. - 2004. - №10. - с.11-16.

20. Петренко С.А. "Управление информационными рисками. Экономически оправданная безопасность". ДМК Пресс, 2005, 384 с.

21. Рогачев А.М. Человеческий фактор в операционных рисках: Банковские риски // Управление финансовыми рисками.-2007.-№1, апрель.-С.78-83.

22. Симонов С.А. статья "Анализ рисков, управления рисками" (Jet Info, 1999, 1).

23. Управление деятельностью коммерческого банка (банковский менеджмент) / Под ред. Лаврушина О.И. - М.: Юристъ, 2003. - 688с.

24. Уткин З.А. стратегический менеджмент: способы выживания российских банков. - М.: Фонд экономического просвещения, 2003. - 180с.

25. Щегорцов В.А. Деньги, кредит, банки: Учебник для вузов / В.А.Щегорцов, В.А.Таран; Под ред. В.А.Щегорцова.-М.: ЮНИТИ-ДАНА, 2005.

26. Экономическая теория: Учебник для экономических вузов / Под ред. О.С.Белокрыловой. -Ростов н/Д: Феникс, 2006.

27. Экономическая теория: Учебник для вузов / Под ред. В.И.Видяпина, Г.П.Журавлевой.-4-е изд.- М.:ИНФРА-М, 2005.

28. www.akibank.ru

29. www.bankir.ru

30. www.garant.ru

31. www.koncultantpluc.ru

32. www.bankdelo.ru

33. http://www.riskworld.net

34. http://www.riskwatch.com

35. http://www.dsec.ru