4.3.3. «Risks in computer and telecommunication system»

Возросшее влияние информационного риска на функционирование

банковских организаций привело к тому, что на них обратил серьезное

внимание Базельский комитет по банковскому надзору, который в своем

документе «Risks in computer and telecommunication system.» выделил

следующие составляющие операционного риска в компьютерных и

телекоммуникационных системах:

• риск безопасности (риск мошенничества) - связан с риском

противоправного использования информации, с которой оперирует

система, в целях, противоречащих интересам банка. Особенностью

операционного риска в контексте функционирования компьютерных

систем является то, что большие объемы информации могут быть

выведены из системы без оставления следов несанкционированного

проникновения, что может привести к ухудшению репутации банка и

выдвижению против банка имущественных исков;

• риск совершения ошибки - риск связан с ошибками, которые

возникают при вводе данных в систему, модификации программного

обеспечения и во время технического обслуживания;

• риск прерывания нормальной деятельности вследствие сбоев в

работе программного и аппаратного компонентов компьютерной

системы - риск уязвимости компьютерных систем, вследствие

непредвиденных происшествий;

• риск неэффективного планирования;

• риск неадекватного исполнения управляющим звеном своих

обязанностей - сводится к неготовности банка к чрезвычайной ситуации.

Кроме этого Базельским комитетом были разработаны

международные стандарты по контролю за операционными рисками, в

соответствии с которыми подсистема внутреннего контроля за

автоматизированными банковскими системами может быть условно

разделена на две составляющие:

• подсистему общего контроля, связанную с процедурами,

сопутствующими работе компьютерных систем (контроль за

разработкой систем, контроль безопасности, контроль за тестированием

систем и т. д.);

• подсистему частного контроля, связанную с функционированием

конкретной компьютерной системы (системы бухгалтерского учета,

системы электронных платежей и т. д.).

Общий контроль связан с условиями, в рамках которых

компьютерные системы разрабатываются, устанавливаются,

отлаживаются и функционируют. Задачей такого контроля является

разработка и обеспечение выполнения соответствующих требований при создании и применении конкретных систем, а также обеспечение

совместимости данных, программных продуктов и операционных

процедур в пределах организации.

Частный контроль связан с данными, операциями и сделками,

учитываемыми в конкретной системе и, следовательно, является

специфичным для каждой системы. Целью такого контроля является

гарантирование полного и корректного ввода, обработки и выдаче

информации.

Общий контроль в свою очередь может быть подразделен на

системный и административный.

Системный контроль включает в себя следующие процедуры:

• проверка реальности внедрения новой системы или модернизации

существующей;

• наличие стандартных процедур утверждения с перечислением

должностных лиц, в них участвующих;

• участие конечных пользователей в процессе разработки и

внедрения системы;

• наличие стандартизированных документации и спецификаций

аппаратных и программных средств, позволяющих уменьшить

зависимость функционирования системы от обслуживающего ее

персонала;

• предварительное тестирование систем с привлечением конечных

пользователей;

• наличие задокументированных процедур приемки системы;

• контроль за конвертацией данных из старой системы в новую.

После принятия системы в эксплуатацию, дальнейший контроль за

ее функционированием осуществляется с использованием процедур

административного контроля, который включает в себя:

• адекватное разделение ответственности персонала и формальное

закрепление последовательности прохождения распоряжений по

системе, построение иерархической системы ответственности

работников;

• наличие инструкций для операторов и руководства пользователей;

• стандартизованные операционные процедуры: профессиональное

соответствие персонала, ротация должностных обязанностей, наличие

отработанного плана действий в случае возникновения чрезвычайных

ситуаций, аудит всех действий пользователей в системе;

• контроль за правильным и полным приемом и безопасной

передачей данных;

• регламентация операций, проверка адекватности системной

документации, контроль за распределением итоговых данных, аудит

проводимых в системе операций и анализ произошедших сбоев;

• контроль за сохранностью информации, как на физическом, так и

логическом уровне;

• разработка мер по обеспечению пожарной безопасности и

энергозащите оборудования.

Все вышеперечисленные методы используются при управлении

операционными рисками, классификация которых была приведена в

предыдущем параграфе. Данные по методам управления приведены в

таблице 4.

Таблица 4

Меры по оптимизации операционных рисков

Вид риска Методы управления

Риск безопас-

ности

• планирование обеспечения безопасности, как часть

общесистемного планирования;

• наличие системных решений, способных усилить

безопасность информационных технологий;

• разработка внутрибанковской политики обеспечения

безопасности;

• операционная безопасность;

• физическая безопасность;

• контроль доступа к информационным системам;

• обмен опытом;

• подготовка персонала.

Риск совер-

шения ошиб-

ки

• наличие встроенных программных модулей,

контролирующих правильность и полноту ввода информации;

• дружественный интерфейс;

• утвержденные процедуры контроля изменений;

• подготовка персонала;

• разработка операционных инструкций.

Риск преры-

вания норма-

льной деяте-

льности

• наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

• наличие резервной системы и правил перехода на нее.

Неэффектив-

ное планиро-

вание

Разработка стратегического плана, содержащего конечные

цели технического развития организации и наличие увязок

плана с другими ключевыми требованиями к деятельности

банка.

Риск неадек-

ватного ис-

полнения уп-

равляющим

звеном своих

обязательств

• пруденциальная практика;

• наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

• успешная организация поддержания и использования

систем.

Возросшее влияние информационного риска на функционирование

банковских организаций привело к тому, что на них обратил серьезное

внимание Базельский комитет по банковскому надзору, который в своем

документе «Risks in computer and telecommunication system.» выделил

следующие составляющие операционного риска в компьютерных и

телекоммуникационных системах:

• риск безопасности (риск мошенничества) - связан с риском

противоправного использования информации, с которой оперирует

система, в целях, противоречащих интересам банка. Особенностью

операционного риска в контексте функционирования компьютерных

систем является то, что большие объемы информации могут быть

выведены из системы без оставления следов несанкционированного

проникновения, что может привести к ухудшению репутации банка и

выдвижению против банка имущественных исков;

• риск совершения ошибки - риск связан с ошибками, которые

возникают при вводе данных в систему, модификации программного

обеспечения и во время технического обслуживания;

• риск прерывания нормальной деятельности вследствие сбоев в

работе программного и аппаратного компонентов компьютерной

системы - риск уязвимости компьютерных систем, вследствие

непредвиденных происшествий;

• риск неэффективного планирования;

• риск неадекватного исполнения управляющим звеном своих

обязанностей - сводится к неготовности банка к чрезвычайной ситуации.

Кроме этого Базельским комитетом были разработаны

международные стандарты по контролю за операционными рисками, в

соответствии с которыми подсистема внутреннего контроля за

автоматизированными банковскими системами может быть условно

разделена на две составляющие:

• подсистему общего контроля, связанную с процедурами,

сопутствующими работе компьютерных систем (контроль за

разработкой систем, контроль безопасности, контроль за тестированием

систем и т. д.);

• подсистему частного контроля, связанную с функционированием

конкретной компьютерной системы (системы бухгалтерского учета,

системы электронных платежей и т. д.).

Общий контроль связан с условиями, в рамках которых

компьютерные системы разрабатываются, устанавливаются,

отлаживаются и функционируют. Задачей такого контроля является

разработка и обеспечение выполнения соответствующих требований при создании и применении конкретных систем, а также обеспечение

совместимости данных, программных продуктов и операционных

процедур в пределах организации.

Частный контроль связан с данными, операциями и сделками,

учитываемыми в конкретной системе и, следовательно, является

специфичным для каждой системы. Целью такого контроля является

гарантирование полного и корректного ввода, обработки и выдаче

информации.

Общий контроль в свою очередь может быть подразделен на

системный и административный.

Системный контроль включает в себя следующие процедуры:

• проверка реальности внедрения новой системы или модернизации

существующей;

• наличие стандартных процедур утверждения с перечислением

должностных лиц, в них участвующих;

• участие конечных пользователей в процессе разработки и

внедрения системы;

• наличие стандартизированных документации и спецификаций

аппаратных и программных средств, позволяющих уменьшить

зависимость функционирования системы от обслуживающего ее

персонала;

• предварительное тестирование систем с привлечением конечных

пользователей;

• наличие задокументированных процедур приемки системы;

• контроль за конвертацией данных из старой системы в новую.

После принятия системы в эксплуатацию, дальнейший контроль за

ее функционированием осуществляется с использованием процедур

административного контроля, который включает в себя:

• адекватное разделение ответственности персонала и формальное

закрепление последовательности прохождения распоряжений по

системе, построение иерархической системы ответственности

работников;

• наличие инструкций для операторов и руководства пользователей;

• стандартизованные операционные процедуры: профессиональное

соответствие персонала, ротация должностных обязанностей, наличие

отработанного плана действий в случае возникновения чрезвычайных

ситуаций, аудит всех действий пользователей в системе;

• контроль за правильным и полным приемом и безопасной

передачей данных;

• регламентация операций, проверка адекватности системной

документации, контроль за распределением итоговых данных, аудит

проводимых в системе операций и анализ произошедших сбоев;

• контроль за сохранностью информации, как на физическом, так и

логическом уровне;

• разработка мер по обеспечению пожарной безопасности и

энергозащите оборудования.

Все вышеперечисленные методы используются при управлении

операционными рисками, классификация которых была приведена в

предыдущем параграфе. Данные по методам управления приведены в

таблице 4.

Таблица 4

Меры по оптимизации операционных рисков

Вид риска Методы управления

Риск безопас-

ности

• планирование обеспечения безопасности, как часть

общесистемного планирования;

• наличие системных решений, способных усилить

безопасность информационных технологий;

• разработка внутрибанковской политики обеспечения

безопасности;

• операционная безопасность;

• физическая безопасность;

• контроль доступа к информационным системам;

• обмен опытом;

• подготовка персонала.

Риск совер-

шения ошиб-

ки

• наличие встроенных программных модулей,

контролирующих правильность и полноту ввода информации;

• дружественный интерфейс;

• утвержденные процедуры контроля изменений;

• подготовка персонала;

• разработка операционных инструкций.

Риск преры-

вания норма-

льной деяте-

льности

• наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

• наличие резервной системы и правил перехода на нее.

Неэффектив-

ное планиро-

вание

Разработка стратегического плана, содержащего конечные

цели технического развития организации и наличие увязок

плана с другими ключевыми требованиями к деятельности

банка.

Риск неадек-

ватного ис-

полнения уп-

равляющим

звеном своих

обязательств

• пруденциальная практика;

• наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

• успешная организация поддержания и использования

систем.