Административный и финансовый контроль должен с достаточной степенью надежности удостоверить как минимум следующее:
- доступ сотрудников банка к имуществу банка, к осуществлению операций по счетам клиентов и кредиторов допускается только в строгом соответствии с надлежащим образом удостоверенными полномочиями сотрудников;
- операции отражаются в учете в соответствии с установленными Банком России требованиями, реально отражают состояние активов и пассивов банка и обеспечивают составление установленных форм отчетности;
- данные учета активов и пассивов банка надлежащим образом подтверждаются как с точки зрения их охвата, так и с позиций периодичности проверок соответствия, и при наличии отклонений предпринимаются необходимые действия, направленные на ликвидацию расхождений.
Отдел обязан минимизировать риски, возникающие при осуществлении функций, в соответствии с методикой минимизации рисков, утвержденной Председателем Правления банка, нормативными требованиями ЦБ РФ, и здравым смыслом.
В ОАО "АКИБАНК" начата работа по проведению стресс-тестирования Банка. В программном комплексе ИНЭК "Финансовый риск-менеджер" производится ежеквартальное стресс-тестирование Банка для расчета максимальных потерь – капитала под риском (VAR). Методы оценки рисков на основе VAR- анализа позволяют рассчитать с заданной вероятностью максимальные ожидаемые убытки банковского портфеля при условии сохранения текущих рыночных тенденций [30].
Основной методикой стресс-тестирования в ОАО "АКИБАНК" является сценарный анализ, проводимый на основе либо исторических событий, произошедших в прошлом, либо на основе гипотетических событий, которые могут произойти в будущем, и анализ чувствительности портфеля активов Банка к изменению факторов риска, на основании которых рассчитываются максимальные потери банка, которые могут возникнуть при самых неблагоприятных, но вероятных условиях. Сценарный анализ позволяет оценивать не только максимально возможные потери, но и проводить анализ чувствительности финансового результата банковского портфеля к изменению значений факторов риска.
Кредитная организация разрабатывает основные принципы управления операционным риском, определяющие:
- цели и задачи управления операционным риском с учетом приоритетных направлений деятельности кредитной организации;
- основные методы выявления, оценки, мониторинга (постоянного наблюдения) операционного риска;
- основные методы контроля и (или) минимизации операционного риска (принятие мер по поддержанию риска на уровне, не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной организации);
- порядок представления отчетности и обмена информацией по вопросам управления операционным риском;
- распределение полномочий и ответственности между советом директоров (наблюдательным советом) и исполнительными органами за реализацию основных принципов управления операционным риском.
Степень детализации основных принципов управления операционным риском зависит от уровня операционного риска, которому подвергается кредитная организация [11].
Основные принципы управления операционным риском реализуются во внутренних документах кредитной организации, определяющих:
- организационную структуру кредитной организации, разделение и делегирование полномочий, функциональные обязанности, порядок взаимодействия подразделений, служащих и обмена информацией;
- порядок, правила, процедуры совершения банковских операций и других сделок, учетную политику, организацию внутренних процессов;
- правила, порядки и процедуры функционирования систем (технических, информационных и других);
- порядок разработки и представления отчетности и иной информации;
- порядок стимулирования служащих и другие вопросы.
При изменении, разработке и принятии новых внутренних документов кредитной организации необходимо проводить оценку их соответствия основным принципам управления операционным риском [6].
В целях создания условий для эффективного управления операционным риском кредитной организации рекомендуется учредительными и (или) внутренними документами отнести к компетенции совета директоров (наблюдательного совета) следующие вопросы:
- утверждение основных принципов управления операционным риском;
- создание организационной структуры кредитной организации, соответствующей основным принципам управления операционным риском;
- осуществление контроля за полнотой и периодичностью проверок службой внутреннего контроля соблюдения основных принципов управления операционным риском отдельными подразделениями и кредитной организацией в целом;
- утверждение мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности);
- оценка эффективности управления операционным риском;
- контроль за деятельностью исполнительных органов кредитной организации по управлению операционным риском.
На этапе выявления операционного риска особое внимание необходимо обращать на случаи пересечения полномочий и ответственности подразделений, служащих кредитной организации.
Все нововведения, производимые кредитной организацией, - изменения структуры или процедур, внедрение новых услуг и технологий, в том числе с использованием аутсорсинга, освоение новых направлений деятельности - рекомендуется на этапе разработки подвергать тщательному анализу с целью выявления факторов операционного риска [9].
3. Регулирование информационных и телекоммуникационных рисков в системе управления операционным риском кредитных организаций
3.1. Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем
Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы [3]:
- статистический анализ распределения фактических убытков;
- балльно-весовой метод (метод оценочных карт);
- моделирование (сценарный анализ).
Во второй половине 90-х годов компания C & A Systems Security [33] разработала методику и одноименный инструментарий для анализа и управления информационными рисками, получившие название COBRA. Эта методика позволяет выполнить в автоматизированном режиме оценку информационных рисков банка. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.
Из программных комплексов российских производителей можно отметить "Кондор" и "Гриф" производства компании Digital Security [35].Они привлекают простым и понятным пользовательским интерфейсом и сравнительно невысокой ценой. Демонстрационные версии этого программного обеспечения можно бесплатно скачать с сайта производителя. Аудиторам информационной безопасности предлагаются консалтинговые версии данных программных продуктов. Они много дороже своих корпоративных аналогов, зато в их базах содержатся исчерпывающие наборы аналитических данных.
Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков.
В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса (в предположении, что таковой идентифицирован) может назвать стоимость оборудования и носителей, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт[20].
Идентификация угроз.
Для управления рисками требуется идентифицировать возможные опасности, угрожающие обследуемой информационной системе. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. На данном этапе рекомендуется учесть все риски, однако оценивать лишь те, реализация которых возможна исходя из принятой модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя с целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в банке не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.