Финансы » Управление операционным риском » Понятие и сущность риска в кредитных организациях

Понятие и сущность риска в кредитных организациях

Страница 2

Операционные риски являются объективным явлением в деятельности любого банка и проявляются как совокупность отдельных видов рисков. Виды операционных рисков весьма многообразны, поэтому в целях эффективного управления ими эти риски классифицируют с различной степенью их интеграции.

В системе операционных рисков особое место занимают информационные и телекоммуникационные риски кредитных учреждений.

Информационные и телекоммуникационные риски (IT-риски) — это опасность возникновения убытков или ущерба в результате применения банком информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

IT-риски можно разделить на две категории:

- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);

- риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.

Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис. 2). Стрелочками на схеме показаны информационные и финансовые потоки.

Рис. 2 Структурная схема управления информационными рисками

Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)*.

При использовании стандартов различных производителей результаты оценки тоже могут получаться разными. В мировой практике анализа и управления рисками основополагающим считается стандарт ISO 17799:2005 Code of practice for information security management ("Свод правил по управлению информационной безопасностью" - предыдущая версия ISO 17799:2000). Фактически этот стандарт представляет собой технологию управления информационной безопасностью.

В 2007 г. Международная организация по стандартизации планирует включить данный стандарт в серию ISO 27000, состоящую из шести стандартов информационной безопасности (по аналогии с другими стандартами системы менеджмента качества ISO 9000). Тогда данный стандарт получит новое название - ISO 27002. В предыдущей версии стандарта (ISO 17799:2000) было 10 пунктов. Разработчики новой версии выделили "Управление инцидентами информационной безопасности" в отдельный пункт ввиду высокой важности этого вопроса [8].

Анализ информационных рисков вне зависимости от выбранных стандартов можно представить как некий сценарий или алгоритм действий, направленный на сбор и обобщение информации об исследуемой системе (рис. 3).

Рис. 3 Возможный сценарий анализа информационных рисков

На первом и втором этапах анализа рисков составляется перечень наиболее критичной и конфиденциальной информации. Третий этап - построение схем каналов доступа, через которые может выполняться несанкционированное воздействие на информацию (например, установленные у пользователя факс-модем или адаптер Bluetooth для соединения с ноутбуком или мобильным телефоном).

Четвертый этап предполагает анализ способов защиты всех возможных точек атак; его результатом должна стать характеристика всех предполагаемых уязвимостей в обороне, в том числе с учетом неблагоприятных обстоятельств. На пятом этапе, исходя из накопленной информации обо всех возможных способах и средствах преодоления защиты, определяют вероятности реализации угроз для каждой из возможных точек атак.

Популярные материалы:

Операции на вексельном рынке
Способы расчетов между потребителями и продавцами при помощи векселей рассмотрим при помощи схем: Схема, отражающая расчеты между поставщиками и покупателями с помощью простого векселя представлена на рисунке 1. (товары, услуги, денежные средства и т.п.) (простой вексель) Рис 1. Движение простого в ...

Банковские кризисы: сущность, факторы возникновения и особенности проявления
В работе рассмотрена роль банков в развертывании кризисных явлений, проанализированы направления исследований, а также приведены подходы к выяснению причин возникновения, определения сущности и оценки последствий банковских кризисов. В возникновении и развитии кризисных явлений заметно возросла рол ...

Депозитарные операции банка
Решающую роль в сближении фондового рынка и клиентов играет депозитарная система, которая представляет собой сеть специальных организаций-депозитариев. Эти учреждения оказывают услуги по хранению ценных бумаг и учету прав собственности на них. Для учета переданных на хранение клиентами ценных бумаг ...