Финансы » Управление операционным риском » Управление банковскими рисками

Управление банковскими рисками

Страница 1

Необходимость управления информационными и телекоммуникационными рисками (IT- рисками)

определяется значительным размером возможных операционных убытков, которые могут создавать угрозу финансовой устойчивости кредитной организации.

Управление рисками рассматривается нами на административном уровне информационной безопасности, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ [19].

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

- (пере)оценка (измерение) рисков;

- выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

- ликвидация риска (например, за счет устранения причины);

- уменьшение риска (например, за счет использования дополнительных защитных средств);

- принятие риска (и выработка плана действия в соответствующих условиях);

- переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы приведенные на рисунке 4.

Рис.4 Этапы управления рисками

Уже перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили четыре этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Подготовительные этапы управления рисками.

Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны [4].

Мы уже указывали на целесообразность создания карты информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими пришлось пренебречь. Если

информационная система

меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Популярные материалы:

Нормативно-правовое регулирование деятельности банков и страховых организаций
Нормативно-правовое регулирование деятельности страховых организаций. Система законодательства, регулирующая в настоящее время страховую деятельность в России, базируется на Гражданском Кодексе РФ и Федеральном Законе "Об организации страхового дела в РФ" (с изменениями и дополнениями от ...

Общие сведения об объекте исследования – акционерном коммерческом банке АКБ “Приватбанк”
Закрытое акционерное общество Коммерческий банк “Приват Банк” (ЗАО КБ “Приват Банк”), зарегистрировано в Национальном банке Украины 19 марта 1992 года, регистрационный номер – 92[47]. Форма собственности – коллективная. Идентификационный код за ЄДРПОУ– 14360570. Местонахождение предприятия соответс ...

Пути решения проблем рынка кредитования
В области кредитования активно работает целый ряд российских банков. Сложились некоторые механизмы привлечения в Россию зарубежных финансовых ресурсов для малого предпринимательства. В частности, кредиты активно выдаются по программе Европейского банка реконструкции и развития через несколько уполн ...