Страхование рисков как элемент управления.
В качестве одного из основных экономических методов управления информационными рисками, предлагается "создание системы страхования информационных рисков физических и юридических лиц" [2]. Страхование как таковое не снижает риски, однако уменьшает финансовые потери страхователя при наступлении страхового случая. Несмотря на то что эта эффективнейшая система управления информационными рисками юридически декларирована в России довольно давно, рынок услуг страхования на сегодняшней день еще не сформировался - в основном из-за отсутствия хорошо зарекомендовавших себя методов оценки их стоимости.
Как в мировой, так и в российской практике непосредственно информация страхуется в размере расходов, необходимых для ее восстановления. При таком подходе страховая компания возмещает расходы на оплату сверхурочной работы сотрудников банка, привлечение специалистов сторонних организаций, а также другие целесообразные расходы, направленные на восстановление утраченной информации. Но страхование информационных рисков не может сводиться только к страхованию информации. Должны страховаться вообще риски, связанные с информационными технологиями, а к ним относятся риски утраты финансовых активов, риски остановки коммерческой деятельности, риски, связанные с возникновением гражданской ответственности. Прежде всего это страхование от преступлений в сфере информационных технологий: действий компьютерных вирусов, несанкционированного доступа к информации, кражи или непреднамеренной утраты носителей информации, финансового мошенничества с использованием информационных технологий. Объектами страхования в этом случае могут быть:
финансовые активы в электронной форме, в том числе в системах клиент-банк;
- биллинговые системы;
- центры сертификации (удостоверяющие центры);
- Web-серверы, в том числе виртуальные;
- ERP-системы и средства защиты;
- базы данных на любых носителях информации;
- ценная информация, для которой существует вероятность утраты без возможности восстановления.
Исходя из приведенной классификации рисков и учитывая, что информация принадлежит к одному из видов объектов гражданских прав, а следовательно, к системе товарных и имущественных отношений (ст. 128; ст. 129; ст. 139 Гражданского кодекса РФ № 51-ФЗ от 30 ноября 1994 г. с изм. и доп.), можно сделать вывод, что информационные риски относятся к чистым, имущественным, производственным рискам.
Информационные риски выступают объектом страхования имущественных интересов юридических и физических лиц, связанных с владением, распространением, пользованием и распоряжением информацией. Это может быть как имущественное страхование (связанное с владением, пользованием, распоряжением информацией как объектом гражданских прав), так и страхование ответственности (связанной с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу). Например, возможно страхование ответственности, возникающей в связи с перерывами в деятельности банка; плохой технической поддержкой клиентов (убытки клиентов в виде неполученной прибыли по причине нарушений в каналах связи); недостаточными мерами по защите данных, принадлежащих третьим лицам; непреднамеренным разглашением конфиденциальной информации; ошибками в программных продуктах, вследствие которых наносится ущерб пользователям[13].
Страхование предполагает последовательное выполнение нескольких обязательных шагов:
· поиск страховой компании;
· согласование условий и предложений по страхованию;
· проведение экспертизы страхователя;
· выполнение рекомендаций, полученных в результате экспертизы;
· подписание договора о страховании.
3.2 Рекомендации по организации управления операционным риском в ОАО "АКИБАНК"
Одна из самых ярких современных тенденций в банковском деле переход к электронному способу ведения бизнеса, кардинальным образом изменяющему соотношение между различными видами риска, с которыми сталкиваются банки [24].
Подводя итоги вышеизложенного, можно отметить следующие основные черты, присущие сфере электронных банковских услуг и оказывающие важное влияние на соотношение отдельных категорий банковского риска:
- выход за пределы отдельных стран и за пределы финансового сектора в целом, требующий сотрудничества учреждений банковского надзора с надзорными органами других стран и отраслей;
- сильная зависимость от прогресса информационных и коммуникационных технологий, что приводит к резкому увеличению стратегических и операционных рисков;
- динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий) и, следовательно, в повышении значения стратегического риска;
- рост ориентированности на клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами), что ведет к увеличению правового и репутационного рисков;
- обострение конкуренции в банковском бизнесе, влекущее за собой повышение общего уровня системного риска.
Рекомендации по управлению информационными рисками. Корректируя корпоративную политику информационной безопасности и оптимизируя архитектуру информационной системы банка с точки зрения повышения защищенности информационной системы, внедрение рекомендаций позволяет повысить эффективность системы управления ИБ и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.
Рекомендации по контролю за текущим уровнем риска. Осуществляя контроль за выполнением мер и требований по обеспечению информационной безопасности, а также уровнем информационного риска критически важных компонентов системы, внедрение рекомендаций обеспечивает не только соблюдение минимального уровня информационных рисков, но и помогает оценить эффективность мероприятий по защите информации.
Кредитным организациям рекомендуется на регулярной основе пересматривать существующие внутренние процессы и процедуры, используемые информационно-технологические системы с целью выявления не учтенных ранее источников операционного риска.
Кредитным организациям рекомендуется уделять особое внимание обеспечению сохранности и возможности восстановления информационных систем и ресурсов. Помещение для установки резервного оборудования или оборудования, на которое должно производиться резервное копирование информации, рекомендуется выбирать так, чтобы минимизировать риск одновременной утраты первичной и резервной копии данных или одновременного выхода из строя основного и резервного оборудования.
Кредитным организациям рекомендуется наряду с ведением аналитической базы данных о понесенных операционных убытках на постоянной основе с использованием различных источников собирать и анализировать информацию о случаях операционных убытков в других кредитных и финансовых организациях.
Кредитным организациям рекомендуется регулярно производить оценку операционного риска в целом по кредитной организации и его распределения в разрезе направлений деятельности кредитной организации, внутренних процессов, информационно-технологических систем и банковских продуктов, составляющих эти направления деятельности.
Кредитной организации рекомендуется определять периодичность осуществления мониторинга операционного риска на основе его существенности для соответствующего направления деятельности, внутреннего процесса или информационно-технологической системы.
В качестве индикаторов уровня операционного риска могут быть использованы сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты и (или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени (продолжительности) простоя информационно-технологических систем и других показателях.
Контроль над уровнем рисков в Отделе должен быть направлен на ограничение рисков, принимаемых банком, и на обеспечение порядка проведения операций и сделок, который способствует достижению установленных банком целей и задач, при соблюдении требований законодательства, нормативных актов Банка России, стандартов профессиональной деятельности и правил деловых обычаев.
Как показывает опыт многих российских банков, наиболее успешные стратегии предупреждения информационных и телекоммуникационных рисков (IT-рисков) базируются на трех основных правилах.
Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.
Правило № 2. Банк должен контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.
Правило № 3. Информационные системы, от которых напрямую зависит деятельность банка (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации [12].
Для обеспечения необходимой защиты от информационных и телекоммуникационных рисков и контроля безопасности можно провести следующие мероприятия.
1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение информационных и телекоммуникационных рисков (IT-рисков), а также обеспечить резервные мощности для работы в критической ситуации.