IT-риски в банковской сфере
Введение
Банк как коммерческая организация ставит своей задачей получение прибыли, которая обеспечивает устойчивость и надежность его функционирования и может быть использована для расширения его деятельности. Но ориентация на прибыльность операций всегда связана с различными видами рисков, которые при отсутствии системы их ограничения могут привести к убыткам.
Поэтому любой банк при
определении стратегии своей
деятельности формирует такую систему
мероприятий, которая с одной
стороны, направлена на получение прибыли,
а, с другой стороны, максимально
учитывает возможности
Банковская система
Особого внимания заслуживает
процесс управления кредитным риском,
потому что от его качества зависит
успех работы банка. Таким образом,
банки должны обращать особое внимание
на взвешенность экономических явлений
при выдаче кредита и страхование
возможных потерь. Необходимо знать
виды банковских рисков, методы расчетов
их, чтобы не допускать потерь, а
также причины образования
Глава 1. Общая характеристика риска
По результатам исследования специфики банковских бизнес-процессов предлагается специальная модель описания бизнес-процессов в банке. Модель основана на понятиях сценария, операции, состояний, бизнес-объекта и других. Бизнес-процессы являются моделью обработки информации в банковской деятельности, и представляет собой цепочку операций выполняемых по отношению к бизнес-объектам, в этом процессе участвующим. Каждый бизнес-процесс описывает некоторый банковский процесс, например, выдачу кредита, международный платеж, и т.п.
Как правило, бизнес-процесс
описывает жизненный цикл
состояния в состояние, и заключают в себе те действия, которые должны произойти в системе в связи с этим переходом. Действия, которые производятся в операции, поделены на блоки, среди которых явно выделены учетные блоки с аналитическими и бухгалтерскими проводками.
Бизнес–объект является основным элементом, используемым для описания процессов в рамках объектной модели. Согласно принятой терминологии объектно-ориентированного программирования в настоящей модели принято следующее соответствие терминов: классы
– бизнес-объекты, объекты классов – экземпляры бизнес-объектов. Использование модели бизнес-процесса дает ряд преимуществ:
¾ все виды банковской деятельности можно разделить на набор законченных процессов, описываемых сценариями;
¾ достигается прозрачность и управляемость процессом, каждый процесс в данный момент времени находится в конкретном состоянии с указанием четкого набора операций, которые однозначно определяют, в каком направлении этот процесс будет развиваться;
¾ выделение в явном
виде внутри операции учетных блоков
с аналитическими и бухгалтерскими
проводками дает возможность легко
настроить и перестроить
С помощью бизнес-процессов описывается логика банковских процессов в прикладных модулях, их описание является важным этапом внедрения ERP-систем в банке.
1.2 Виды рисков, проблемы оценки информационных рисков
Классическое учение банковской системы исходит из существования трёх ведущих критериев, которые следует учитывать банкам: ликвидность, рентабельность и безопасность. Эффективность организации управления рисками во многом определяется классификацией банковских рисков. Под классификацией рисков понимается их распределение на отдельные группы по определенным признакам для достижения определенных целей. Научно обоснованная классификация банковских рисков позволяет четко определить место каждого риска в их общей системе. Она создает возможности для эффективного применения соответствующих методов и приемов управления риском. Каждому риску соответствует свой прием управления риском. В экономической литературе встречается большое количество различных подходов к классификации банковских рисков. Это обусловлено, прежде всего, существованием совокупности целей и задач проведения систематизации риска, использования классификации для дальнейших исследований в области теории риска. По одному из этих подходов важными элементами, позволяющими дать экономическую классификацию банковских рисков, являются:
. Тип и вид коммерческого банка;
. Сфера влияния и возникновения банковского риска;
. Состав клиентов банка;
. Метод расчёта риска;
. Степень банковского риска;
. Распределение риска во времени;
. Характер учёта риска;
. Возможность регулирования банковского риска;
Методы такого регулирования.
Другой подход к изучению структуры
рисков банковских учреждений основан
на подразделении банковских рисков
на экономические и политические.
В свою очередь и политические,
и экономические риски могут
быть внешними и внутренними. К внешним
относятся риски, непосредственно
не связанные с деятельностью
банка. На уровень внешних рисков
влияет очень большое количество
факторов - политические, экономические,
демографические, социальные, географические
и др. К внутренним относятся риски,
обусловленные деятельностью
· Риск пролонгации, когда вклады отзываются до их срока (депозитный риск);
· Риск срока, когда кредит не возвращается в срок (кредитный риск);
· Риск новых, непланируемых кредитов;
· Риски по новым видам деятельности: факторинговые, лизинговые, рыночные и др.
Прочие риски. К рискам успеха относятся:
· Отраслевой риск;
· Страновой риск;
· Процентный риск;
· Валютный риск;
Прочие риски. Как следует
из приведённой структуры, основным
риском ликвидности является кредитный
риск. Следует, однако, иметь в виду,
что в последние годы банками
активно проводятся инвестиционные
операции с ценными бумагами, а
поэтому усиливается значение рыночного
риска. По специфике клиента банковские
риски подразделяются в зависимости
от размера клиента и по принадлежности
к различным видам
По степени (объему) банковские
риски можно определить как низкие,
умеренные и полные, в зависимости
от расположения по шкале рисков. Степень
банковского риска
· Отдельно стоящий риск, т.е. риск, исключительно связанный с самим проектом, независимо от заёмщика;
· Внутрифирменный риск;
Рыночный или портфельный риск, характеризующий, насколько конкретный проект подходит общему банковскому кредитному портфелю. В американской практике выделяются следующие типы рисков:
. Риски, вызываемые последствиями неправомерных или некомпетентных решений отдельных работников. Эти риски возникают в условиях превышения исполнительными лицами банка установленных полномочий по принятию решений (по составу и объему операций), несоблюдения сотрудниками банка установленных процедур проведения операций, а также нарушения правил и этических норм, установленных на организованных рынках финансовых инструментов (ценных бумаг, иных фондовых ценностей, иностранной валюты, драгоценных металлов). Данные риски включают:
· хищение ценностей;
· проведение сделок и операций, наносящих банку ущерб, сокрытие результатов таких операций;
· вовлечение банка в коммерческие взаимоотношения с теневой или криминальной экономикой.
. Риски ликвидности и снижения капитала, формируемые решениями управленческого аппарата, включают:
· Кредитный риск. Этот риск имеет отношение не только к кредитованию, но и к другим операциям, которые находят свое отражение в балансе банка или на внебалансовом учете (вложения в ценные бумаги, гарантии, акцепты и др.).
· Страновой риск и риск неперевода средств. Страновые риски наиболее очевидны при кредитовании зарубежных правительств и их ведомств, поскольку возврат таких кредитов обычно ничем не обеспечен.
· Рыночный риск. Банки несут риск потерь по балансовым и внебалансовым статьям в связи с движением рыночных цен. В соответствии с общепринятыми правилами бухгалтерского учета, такие риски обычно обнаруживаются при осуществлении банком операций на рынке, независимо от того, идет ли речь о долговых инструментах или об акциях самого банка, о валютных операциях или позициях, открытых по другим инструментам.
· Процентный риск. Процентный риск связан с влиянием на финансовое состояние банка неблагоприятного изменения процентных ставок. Процентный риск включает:
· Риск потери ликвидности. Связан с возможным невыполнением банком своих обязательств или необеспечением требуемого роста активов.
· Операционный риск. Важнейшие виды операционных рисков связаны с нарушениями процесса ВК и управления банком. Эти нарушения могут привести к финансовым потерям, когда допускаются ошибки, либо случаи мошенничества либо неспособности своевременно учесть изменившиеся под влиянием рыночных тенденций интересы банка.
· Правовой риск. Банки подвержены множеству правовых рисков. Они включают риск обесценения активов или увеличения обязательств по причине неадекватных или некорректных юридических советов либо неверно составленной документации вследствие как добросовестного заблуждения, так и злонамеренных действий.
- Риск потери репутации банка. Риски потери репутации банка возникают из операционных сбоев, неспособности действовать в соответствии с определенными законами и инструкциями либо другими источниками права, а также при подозрении в связях с криминальными структурами или в легализации доходов, полученных преступным путем. Выделяют три вида внутренних рисков:
. Риски персонального вида (риски сотрудников), т.е. кадровые риски. Различаются количественные и качественные риски персонального вида.
. Риски материально-технического вида, связанные с материально-технической базой банков, её уровнем;
Структурно-процессуальные
риски представлены взаимодействием
рисков первого и второго видов.
Анализ приведённых выше классификаций
банковских рисков позволяет выделить
базовые критерии, лежащие в основе
классификационной структуры
1.3 IT-риски, их идентификация
Определим сначала, какой областью рассмотрения мы ограничимся. Можно привести как минимум три определения информационных рисков, использование каждого из которых будет оправдано решаемыми задачами. Самое узкое определение информационных рисков — это риски утраты, несанкционированного изменения информации из-за сбоев в функционировании информационных систем или их выхода из строя, приводящие к потерям. В данном случае информационный риск соответствует категории I уровня операционных рисков (ОР) в классификации Базельского комитета «Остановка бизнеса и сбои в системах».
Наиболее широкое определение включает риск возникновения убытков из-за неправильной организации или умышленного нарушения информационных потоков и систем организации. Такое расширенное понимание информационного риска совершенно оправданно, если задаться целью оценить риски в широком контексте информационной безопасности банка, включая организацию работ службы безопасности, PR-центра, информационных технологий и др. Однако при этом в круг рассмотрения попадают довольно разнородные риски, подходы при оценке и управлении которыми должны быть разными. Рассмотрим информационные риски как риски возникновения потерь в результате воздействия людей и внешних событий на информационные системы, а также из-за сбоев и неадекватной работы информационных систем. Таким образом, информационные риски —будем для краткости также называть их IT-рисками — связаны с применением банками информационных систем и технологий.
Применение информационных технологий является одним из важных факторов, определяющих конкурентоспособность банка. Однако наряду с очевидными преимуществами, такими как повышение скорости и качества обслуживания клиентов, доступности банковских услуг, снижение издержек, использование информационных технологий привносит новые существенные риски. Именно они приобретают всё большее значение по мере развития конкуренции в банковской сфере и расширении географического присутствия банков. Однако количественная оценка IT-рисков затруднена и зачастую оказывается неточной и ненадёжной по нескольким причинам, часть из которых относится ко всем операционным рискам, а часть специфична именно для этого типа рисков. Во-первых, данные, необходимые как входные параметры практически для всех типов количественных оценок IT-рисков, зачастую очень сложно собрать. Сбор таких данных требует исчерпывающего понимания всех угроз и их воздействия на очень многие «активы» банка, начиная от IT-активов и заканчивая репутацией банка. При этом требуется точность регистрации, её непрерывность и достаточно длинный период, чтобы данные были пригодны для построения модели, имеющей предсказательную силу. Во-вторых, информационная среда современного банка насчитывает сотни объектов риска — IT-активов, которые к тому же претерпевают постоянные изменения, так как банки стремятся модифицировать IT-среду, совершенно справедливо рассматривая операционное совершенство как одно из важнейших конкурентных преимуществ.
Таким образом, необходимо построить максимально гибкую модель IT-среды банка, которую можно было бы настраивать по мере изменения входящих в неё систем. И в-третьих, затраты времени и людских ресурсов на анализ уязвимости к рискам и собственно риск-анализ могут быть довольно высоки, что не позволяет проводить его с необходимой периодичностью. И если западные банки обладают уже достаточно полными базами данных по IT-рискам, то для большинства российских кредитных учреждений процесс грамотного систематизированного сбора данных, их отслеживания и проверки, периодический анализ и налаживание отчётности — пока нерешённая задача. Для того чтобы реализовать этот процесс, необходимо сначала провести идентификацию IT-рисков.
Идентификация IT-рисков
Рамки рассмотрения и уровень детализации
Первым этапом в идентификации IT-рисков является выбор анализируемых объектов и уровня детализации, на котором они будут рассматриваться. Небольшая кредитная организация может рассматривать всю информационную инфраструктуру, но для большого банка такая единовременная и детализированная оценка может потребовать неприемлемых затрат времени и человеческих ресурсов. Необходимо в таком случае установить приоритеты и рассмотреть в первую очередь совокупность наиболее важных информационных активов, отдавая себе отчёт в том, что оценка будет ограниченной. Как указано во введённой Банком России в конце января 2006 года второй версии стандарта информационной безопасности (далее — Стандарт ИБ), «собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс)». При этом целесообразно создать карту информационной инфраструктуры банка, с тем чтобы видеть, какие объекты IT-инфраструктуры выбраны для анализа рисков, а какие остались за его рамками. Карту следует поддерживать в актуальном состоянии, чтобы при изменении IT-инфраструктуры или более глубоком анализе рисков легко можно было оценить, какие объекты нуждаются в рассмотрении. Карта информационной инфраструктуры создаётся в рамках инвентаризации IT-активов банка
Выявление угроз
Поясним вначале, что мы будем понимать под IT-активами банка. Это, во-первых, информационные активы, т. е. нематериальные активы, к которым относятся различные виды банковской информации (платёжная, аналитическая и пр.), и программное обеспечение, рассматриваемое вне его носителя (аппаратных средств), и, во-вторых, технологические активы, т. е. материальные активы, включающие аппаратные средства ЭВМ, локальных вычислительных сетей и пр. При идентификации IT-активов, т. е. тех ценностей, которые банк хочет защитить, следует учитывать и поддерживающую инфраструктуру, и персонал, и такие нематериальные ценности, как репутация банка. Вершиной пирамиды, которая определяет нижележащие слои, является представление о миссии банка, т. е. об основных направлениях деятельности и способах их реализации (рис. 1) посредством определённых бизнес-процессов. Выбранные банком технологии и технологические активы — это уже зона прямого воздействия факторов IT-рисков.
Для оценки операционных рисков необходимо выявить угрозы IT-активам банка, т. е. факторы риска. Однако это будет иметь мало смысла без классификации этих факторов, поскольку для оценки риска нужно систематически собирать статистику, строить качественную или количественную модель. Сложность классификации операционных рисков в полной мере присуща и IT-рискам, к тому же здесь возникает и проблема согласования взглядов сотрудников информационных подразделений, которые занимаются вопросами информационной безопасности банка, и риск-менеджеров, которым необходимо оценивать капитал под операционный риск, проводить самооценку (selfassessment), мониторинг ключевых показателей операционного риска в рамках банка. Классификация IT-рисков должна быть единой, полной и непротиворечивой, и задача её создания с точки зрения методологии ложится на риск-менеджеров. Конечно, каждый банк может ввести свою классификацию IT-рисков, поскольку регулятор не вводит единой системы, однако лучше основываться на классификации Базельского комитета, которая является результатом многолетнего анализа источников и типов потерь западных кредитных организаций. Согласно базельской классификации категорий событий и примеров действий, которые могут приводить к реализации операционных рисков, к IT-рискам можно отнести указанные в табл. 1.
Основываясь на классификации факторов риска, необходимо далее для каждого из принятых в рассмотрение элементов IT-активов выявить потенциальные рисковые события, которые могут на нём реализоваться. Хорошей практикой является разработка моделей угроз и нарушителей информационной безопасности для банка. Стандарт ИБ — Банк России рекомендует каждой кредитной организации разработать модель угроз информационной безопасности, которая включала бы «описание источников угроз, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба». По сути, разработать на основе сценарного анализа полноценную модель риска. При этом особо подчёркивается, что такая модель должна обладать прогностической силой. Подход «угроза — уязвимость» (модель угроз и нарушителей в терминологии Банка России), являющийся на Западе стандартом при оценке IT-рисков, предполагает сопоставление каждому элементу IT-активов определённых источников угроз (факторов риска), которые могут нанести ущерб организации посредством использования существующих в этом элементе уязвимостей.
Источник угрозы (фактор риска) определяется как намерение и способ умышленного воздействия на уязвимости либо ситуация и способ, который может непредумышленно привести в уязвимость действие, т. е. это совокупность мотивов и условий, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Целостность, доступность и конфиденциальность информации являются выражением стоимости информационного актива, рассматриваемого как объект риска. Поясним эти понятия, отражающие свойства информации, важные для осуществления миссии банка. Целостность отражает необходимость защиты информации от несанкционированного изменения и утраты. Целостность нарушается при неразрешённых действиях с данными или системами независимо от того, были ли они умышленными или случайными. Часто именно нарушение целостности являются первым шагом в атаке на системы. Если целостность вовремя не восстановлена, это может приводить к ошибкам в расчётах, реализации мошеннических действий, принятию неверных решений менеджментом банка.
Доступность — это обеспечение
получения требуемой
Конфиденциальность — это обеспечение защиты от несанкционированного доступа к информации, её несанкционированного использования, воспроизводства и распространения. Конфиденциальность имеет большое значение именно для банков, поскольку её нарушение может привести к раскрытию банковской тайны, реализации риска потери деловой репутации, нанося репутации банка значительный ущерб. Источники угроз, которые могут привести к нарушению целостности, доступности и конфиденциальности информации, должны быть выявлены и описаны с уровнем детализации, определяемым реальными потребностями в защите, т. е. в зависимости от соотношения между стоимостью защиты и стоимостью риска. Поэтому процесс идентификации риска является циклическим. Первоначально составляется грубая схема цепочек «угроза Х...Хвеличина риска» без детализированного описания моделей угроз, проводится сравнительная стоимостная оценка экспертным способом с привлечением данных по потерям банка, если они есть, и других кредитных учреждений, например, с помощью карт рисков или скоринговых карт.
На основе этой оценки выделяются наиболее значимые факторы риска и для них уже строятся детальные модели нарушителей. Наиболее разнообразными являются угрозы, исходящие от человека, что определяет необходимость высокой детализации в их описании. При описании этого типа факторов риска рекомендуется выделять несколько уровней (категорий риска), упрощённый пример такого выделения на трёх уровнях приведён в табл. 2. Факторы риска, связанные с действиями внешних (хакеры, спамеры, промышленные шпионы и пр.) и внутренних нарушителей (персонал), желательно описывать наиболее детально, включая возможную мотивацию, стереотипы поведения и типичные действия нарушителей в связке с уязвимостями в IT-инфраструктуре
Выявление уязвимостей
Термин «уязвимость» характеризует отсутствие или слабость (недостаток) предохранительных мер, позволяющих снизить риск. К ним могут относиться процедуры обеспечения безопасности IT-систем, проектирование систем и их разработка и внедрение или процедуры внутреннего контроля.
Уязвимость — это состояние, которое позволяет угрозе осуществиться (случайно или преднамеренно), результатом чего будет большая частность потерь и (или) более тяжёлые последствия от реализации риска — величина потерь. Например, отсутствие антивирусной защиты увеличивает как частоту рисковых событий (большее количество заражений), так и тяжесть потерь, так как заражение будет выявлено с существенным запаздыванием и распространение вируса может привести к необходимости восстановления информации, переустановки операционной системы или отдельных приложений и т. д.
Рассмотрим схему формирования моделей «угроза Х...Хвеличина риска» на примере влияния факторов риска на частотность потерь (рис. 2).
Риск — функция частотности потерь и величины потерь, что отражено стрелками, идущими от двух соответствующих сущностей к сущности «риск». На частотность потерь будет влиять частота воздействия угроз, например, вирусных атак и уязвимость IT-среды банка, которая зависит от уровня контроля (области контролируемого банком риска, см. рис. 1) и мощности угрозы, которая не зависит от банка (банк не может её контролировать).
Мощность угрозы (фактора риска) определяется в рамках построения модели нарушителя.
Для целей сбора информации об уязвимостях и их анализа уязвимости можно разбить на две большие группы:
• уязвимости, специфичные
для программных и аппаратных
средств, примером которых могут
быть слабости конкретных версий программного
обеспечения или моделей
• специфичные для процессной и контрольной среды банка уязвимости, которые являются следствием слабостей практик, используемых банком для организации и управления IT-инфраструктурой и для контроля IT-безопасности.
Сбор информации об уязвимостях первого типа, как правило, не представляет особых сложностей, поскольку соответствующая информация обычно размещается в свободном доступе на сайтах производителей; по условиям сервисных соглашений производятся уведомления об обнаружении дефектов и обновление версий, установка «заплат». Источником информации об уязвимостях также могут служить сайты компаний, специализирующихся на обеспечении информационной безопасности (например, производителей антивирусного ПО), и специализированные порталы, объединяющие пользователей соответствующего оборудования и программ. Выявление уязвимостей первого типа — прерогатива информационно-технологических служб банка.

- IT-саласындағы мәселелер
- IT технологии в управлении качеством продукции
- IT-технологии в управлении качеством продукции
- IT-технологии в эпоху глобализации
- Ivan Fyodorovich Sponka Essay Research Paper The
- Ivanhoe Essay Research Paper Character Analysis of
- Ivanhoe Essay Research Paper IvanhoeWritten by Sir
- ItS Never Too Late Essay Research Paper
- It S Simply Red Herring Essay Research
- It Strategy And Planning Essay Research Paper
- IT Tech Essay Research Paper FullService Firms
- Itten
- IT компания и ее структура
- IT решения для малого бизнеса