Информационные системы управления
Мы уже отмечали неоднократно значимость, которую приобрели в последнее время информационные системы управления или MIS (Management Information System). Теперь пришло время рассмотреть принципы их построения и базовое функциональное наполнение.
Принципы, лежащие в основе Management Information System, можно сформулировать в виде шести основных положений.
* Простота в представлении информации и ее использования. Информация должна быть представлена различными способами: в графическом, текстовом, гипертекстовом видах, с развитыми средствами поиска, отбора и сортировки данных, средства гибкой настройки отображения данных.
* Оперативность представления информации. Данные управленческого учета должны отражать реальное состояние кредитной организации на текущий момент, система должна обеспечивать оперативное обновление данных при изменении первичной учетной информации.
* Эффективные средства анализа и доступа к информации. Management Information System должна обеспечивать не только возможность удобного доступа к информации, но и широкий спектр средств для ее обработки и анализа, средств прогнозирования изменения состояния кредитной организации на основе методов статистического, экономико-математического, экспертного анализа.
* Возможность оперативного составления запросов и произвольной выборки данных. Данные должны быть структурированы и формализованы, пользователь должен иметь возможность получать расшифровки и дополнительную информацию с нужным уровнем детализации по всем показателям и статьям управленческого учета. При необходимости получения дополнительных данных система должна обеспечивать возможность оперативного составления новых запросов.
* Интеграция с информационным пространством банка. Одним из важных принципов построения Management Information System является ее взаимодействие с офисной системой банка, системой автоматизации бухгалтерского учета. Management Information System должна обеспечивать возможность оперативного доступа к данным как бухгалтерского и финансового учета, так и к данным кадрового учета, а также доступ к средствам управления персоналом организации.
* Возможность оформления данных в соответствии с международным стандартам бухгалтерского учета GAAP и IAS. В качестве дополнения к вышеперечисленным принципам построения Management Information System для российских банков важной является возможность получения основных отчетных форм кредитных организаций в соответствии с требованиями международных стандартов бухгалтерского учета GAAP и IAS.
Как один из вариантов реализации Management Information System можно предложить трехуровневую структуру. Первый уровень организует обмен данными и внедрение Management Information System в информационное пространство банка. Уровень обработки данных реализует методики обработки информации, расчет и анализ показателей, блоки статистического и экономико-математического анализа. Самый верхний уровень оформления данных обеспечивает взаимодействие пользователя с Management Information System, организует пользовательский интерфейс.
Функциональный состав Management Information System может варьироваться в зависимости от масштабов банка, количества специалистов, работающих в банке, организационной структуры и технологии его работы. Как правило, Management Information System включает следующие функциональные блоки:
систему управленческого учета;
управление ликвидностью, активами и пассивами; данный блок должен быть построен на основе различных методик оценки ликвидности банка, обеспечивать прогнозирование тенденций изменения ликвидности;
блок анализа рентабельности должен позволять проводить расчет различных показателей рентабельности: рентабельности банка, отдельных банковских продуктов, отдельных бизнес-процессов и бизнес-структур банка;
систему бюджетирования банка; основной задачей бюджетирования банка является анализ распределения статей доходов и расходов как в целом по банку, так и в разрезе бюджетирования отдельных структурных подразделений; система должна позволять не только проектировать бюджет, но и контролировать его исполнение;
средства управления персоналом. Management Information System должна обеспечивать доступ к данным кадрового учета сотрудников с целью предоставления всей необходимой информации руководителям банка; обязательным требованием является наличие средств организации и планирования рабочего времени; одним из альтернативных путей решения данной задачи может быть совместное функционирование Management Information System с программными средствами управления персоналом независимых разработчиков.
Многие банки в настоящее время стремятся к построению подобной системы, так как она является сегодня основным инструментом банковского управления.
Вместе со многими преимуществами информационные системы таят в себе и не меньше опасностей. Одной из которых является возможность несанкционированного доступа к информации и даже осуществления операций. Информационная безопасность является важнейшим аспектом информационных технологий, так как направлена на защиту как клиентской, так и внутренней информации от несанкционированных действий.
Стремительное развитие информационных систем в российских банках делает проблему защиты информации еще более актуальной. Несмотря на то, что по сравнению с западными банками доля автоматизированных бизнес-процессов в нашей стране не так велика, случаи нарушений деятельности банков в результате информационных сбоев, как умышленных, так и неумышленных, становятся все более частыми.
Причины нарушений в информационной системе организации обычно можно разделить на: ошибочные действия пользователей и умышленные атаки на систему. Последнюю группу в свою очередь можно также разделить на три подгруппы в зависимости от целей злоумышленника: несанкционированное получение информации, выполнение несанкционированных действий и разрушение системы или ее части.
Остановимся подробнее на наиболее распространенных случаях нарушений и сбоев в информационных системах кредитных организаций, а также предложим методы защиты от них.
Ошибочные действия пользователей информационной системы
Данный тип нарушений наиболее распространен практически во всех сколько-нибудь крупных информационных системах. Совершаемые ошибки, как правило, связаны с неверным вводом информации в систему автоматизации. При этом последствия ошибки можно расценивать по-разному, ввиду различной ценности вводимых данных.
Наиболее опасным следствием ошибочных действий сотрудника банка может стать совершение операции с неправильными основными реквизитами (счета или сумма). Последствия таких ошибок, даже в случае исправления проводки и возврата средств, существен но ухудшают имидж банка и снижают доверие клиентов к нему. Поэтому в большинстве банков вводятся дополнительные системы контроля и определяются достаточно крупные штрафные санкции для сотрудников, совершивших ошибки. Однако, несмотря на это, одна-две ошибки на 1000 документов в некоторых кредитных организациях рассматриваются как допустимая норма.
Другой весьма болезненной ошибкой пользователя является ошибочный запуск какого-либо большого процесса, например закрытия операционного дня или переоценки валютных средств. Такого рода ошибки обычно вызывают сбои в работе всей организации, задержки в обслуживании клиентов.
Для минимизации потерь от такого рода ошибок в работе с информационной системой обычно применяются следующие решения.
1. Продуманная и, желательно, задокументированная политика контроля за информационными ресурсами в банке. Политика контроля, оформленная как внутренний регламентирующий документ банка, должна определять типы основных документов, условия и вид контроля за их прохождением. Принципы, определяющие политику контроля, могут быть следующие:
дополнительный визуальный контроль документов на большие (сверх некоторого заранее установленного уровня) суммы;
желательный параллельный независимый ввод ключевых реквизитов всех (или по крайней мере внешних) платежных документов.
2. Настройка прав пользователей системы. Основным здесь является то, что пользователь может совершить только операцию определенного, доступного ему типа, с определенными, допустимыми для него и контролируемыми по справочникам параметрами, при определенных условиях.
3. Четкая регламентация действий сотрудников в случае совершения ошибочных действий. Открытость и доступность информационных служб банка.
4. Постоянное повышение квалификации сотрудников в пользовании компьютерной техникой.
Однако, несмотря на то, что претворение в жизнь подобных решений необходимо, они крайне редко применяются в полном объеме. Основными причинами такого положения дел обычно являются высокая трудоемкость и отсутствие соответствующих процедур в программном обеспечении информационной системы банка. Подобными процедурами при построении системы защиты обычно пренебрегают, особенно в небольших банках, где затраты на автоматизацию невысоки. Иногда подобная политика не лишена смысла, так как прямой ущерб от ошибок пользователей для небольшого банка обычно меньше зарплаты дополнительного высококлассного специалиста в области информационных технологий, а побочные эффекты, связанные с отрицательным маркетинговым эффектом, небольшому банку не так страшны.
Данный тип нарушений деятельности организации является самым редким, но в то же время и наиболее болезненным для банка. При этом злоумышленник может быть как сторонним лицом, так и сотрудником банка.
Обычно при разработке защиты информационной системы от действий такого рода выделяются три вида атак: несанкционированное получение информации, выполнение несанкционированных действий, разрушение системы или ее части.