4.3.5. Управление информационным риском
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 23 24 25 26 27 28 29 30 31 32 33
34 35 36
Другим, альтернативой подходом к проблеме информационных
рисков предлагается подход, при котором информационные системы
рассматриваются как источники угроз для деятельности кредитных
организаций.
Начнем рассматривать этот подход с определения
информационного риска. Для начала необходимо понять, когда
появляется информационный риск в банке. И если с кредитным и
валютным риском все более менее ясно: первый появляется при выдаче
первого кредита, а второй по время начала ведения валютных операций,
то как быть с информационным риском.
Предположим, что информационный риск появился, когда
сотруднику впервые поставили компьютер, и он стал выполнять с его
помощью некоторые операции, например, рассчитывать
кредитоспособность заемщика. Риск здесь заключался в том, что
однажды сотрудник не смог рассчитать ее или рассчитал неправильно,
по одной или совокупности следующих причин:
• неверно введенная информация;
• неверный алгоритм расчета;
• неполадки компьютера;
• сбой программы.
То есть при едином риске мы имеем разные не связанные его
составляющие: техническую, технологическую, программную и т.д.
Возможно, эти не связанные составляющие не доставляли бы
особое беспокойство, если бы компьютер был один и одна
автоматизированная задача. Однако, другое дело, когда
информационные системы охватили все сферы деятельности банка, и
потребовался системный подход к решению задачи по оценке и
управлению информационным риском.
Таким образом, информационный риск можно определить как
вероятность ущерба из-за использования компьютерных технологий при
совершении стандартных банковских операций.
Очевидно, что возросшая опасность от информационного риска
прямо связано с развитием и распространением Банковских
Информационных Систем (БИС) и их использованием на всех участках
работ коммерческого банка.
Выделяют пять поколений БИС, используемых российскими
коммерческими банками. При этом в списке реально используемых
систем можно найти как самые первые системы автоматизации,
предназначенные в основном для ввода бухгалтерских проводок, так и
сложные интегрированные БИС. При этом наибольшее распространение
имеют системы 3 поколения, работающие на СУБД btrieve (Pervasive
SQL) в LAN Novell NetWare и Windows NT.
Отличием систем 3 поколения от интегрированных БИС является
охват лишь части банковских операций, и, как следствие, необходимость
использования дополнительных программных модулей, что лишь
усложняет взаимосвязи внутри комплексной системы автоматизации
банка. Таким образом, любую БИС можно отнести к разряду сложных
систем.
Изучение сложных систем обычно начинается с самого простого - с
элементов, из которых состоит система и их взаимодействия друг с
другом. Если мы говорим о БИС как о системе, которая охватывает всю
совокупность задач, решаемых в банке комплексно, то мы можем
разделить ее по группам задач, будь то отдельные программы
(например, разделенный фронт и бэк офисы) или функциональные
подсистемы в рамках интегрированной БИС. Приступая к декомпозиции
комплекса задач, вспомним, что основной нашей целью является
разработка метода по оценке и управлению риском.
Выбирая такой элемент, приведем высказывание А. Орехова о том,
что «грамотно спроектированная интегрированная система представляет
собой набор модулей, работающий с единой логической базой данных и
объединенных вокруг единого ядра, ответственного за такие общие
функции, как администрирование системы, управление доступом,
ведение справочников и базовые функции бухгалтерского учета. Именно
наличие общего ядра и единой модели данных является отличием
интегрированной системы... . В лучших интегрированных системах
функциональные модули не эквивалентны АРМам с их жесткой
структурой меню и набором функций, а представляют собой наборы
специализированных функций, добавляемых в общий пул функций
системы, доступный со всех рабочих мест и позволяющих
конструировать нестандартные индивидуальные АРМы, при
необходимости объединяя функции разных модулей системы».
Следовательно, с точки зрения контроля за информационными
рисками имеет смысл осуществлять декомпозицию автоматизированных
систем до уровня выполняемых банковских операций. Такое разделение
позволит учитывать ущерб, который понесет банк в случае
невозможности выполнить заданную операцию (например,
формирование электронного макета межбанковских документов, отказ в
приеме документов по системе Клиент-банк, ошибку в формирование
обязательной отчетности или неверно начисленные проценты по
кредитным договорам), а с другой стороны построить схемы влияния и
выявить причину произошедших сбоев.
Очевидно, что выполнению любой операции в БИС предшествует
определенный набор действий, таких как ввод информации, контроль,
переходы между состояниями и т.д. На каждом этапе задействованы
различные исполнители, программные и технические средства.
Следовательно, можно сказать о том, что процесс выполнения любой
операции можно представить как технологию решения задачи,
состоящую из нескольких этапов.
Связь элементов технологии при решении структурированных задач
представлена на рис.13. В силу того, что в данном случае объединяются
свойства двух технологий – предметной и обеспечивающей – правила и
требования по каждому элементу описываются отдельно7.
Другим, альтернативой подходом к проблеме информационных
рисков предлагается подход, при котором информационные системы
рассматриваются как источники угроз для деятельности кредитных
организаций.
Начнем рассматривать этот подход с определения
информационного риска. Для начала необходимо понять, когда
появляется информационный риск в банке. И если с кредитным и
валютным риском все более менее ясно: первый появляется при выдаче
первого кредита, а второй по время начала ведения валютных операций,
то как быть с информационным риском.
Предположим, что информационный риск появился, когда
сотруднику впервые поставили компьютер, и он стал выполнять с его
помощью некоторые операции, например, рассчитывать
кредитоспособность заемщика. Риск здесь заключался в том, что
однажды сотрудник не смог рассчитать ее или рассчитал неправильно,
по одной или совокупности следующих причин:
• неверно введенная информация;
• неверный алгоритм расчета;
• неполадки компьютера;
• сбой программы.
То есть при едином риске мы имеем разные не связанные его
составляющие: техническую, технологическую, программную и т.д.
Возможно, эти не связанные составляющие не доставляли бы
особое беспокойство, если бы компьютер был один и одна
автоматизированная задача. Однако, другое дело, когда
информационные системы охватили все сферы деятельности банка, и
потребовался системный подход к решению задачи по оценке и
управлению информационным риском.
Таким образом, информационный риск можно определить как
вероятность ущерба из-за использования компьютерных технологий при
совершении стандартных банковских операций.
Очевидно, что возросшая опасность от информационного риска
прямо связано с развитием и распространением Банковских
Информационных Систем (БИС) и их использованием на всех участках
работ коммерческого банка.
Выделяют пять поколений БИС, используемых российскими
коммерческими банками. При этом в списке реально используемых
систем можно найти как самые первые системы автоматизации,
предназначенные в основном для ввода бухгалтерских проводок, так и
сложные интегрированные БИС. При этом наибольшее распространение
имеют системы 3 поколения, работающие на СУБД btrieve (Pervasive
SQL) в LAN Novell NetWare и Windows NT.
Отличием систем 3 поколения от интегрированных БИС является
охват лишь части банковских операций, и, как следствие, необходимость
использования дополнительных программных модулей, что лишь
усложняет взаимосвязи внутри комплексной системы автоматизации
банка. Таким образом, любую БИС можно отнести к разряду сложных
систем.
Изучение сложных систем обычно начинается с самого простого - с
элементов, из которых состоит система и их взаимодействия друг с
другом. Если мы говорим о БИС как о системе, которая охватывает всю
совокупность задач, решаемых в банке комплексно, то мы можем
разделить ее по группам задач, будь то отдельные программы
(например, разделенный фронт и бэк офисы) или функциональные
подсистемы в рамках интегрированной БИС. Приступая к декомпозиции
комплекса задач, вспомним, что основной нашей целью является
разработка метода по оценке и управлению риском.
Выбирая такой элемент, приведем высказывание А. Орехова о том,
что «грамотно спроектированная интегрированная система представляет
собой набор модулей, работающий с единой логической базой данных и
объединенных вокруг единого ядра, ответственного за такие общие
функции, как администрирование системы, управление доступом,
ведение справочников и базовые функции бухгалтерского учета. Именно
наличие общего ядра и единой модели данных является отличием
интегрированной системы... . В лучших интегрированных системах
функциональные модули не эквивалентны АРМам с их жесткой
структурой меню и набором функций, а представляют собой наборы
специализированных функций, добавляемых в общий пул функций
системы, доступный со всех рабочих мест и позволяющих
конструировать нестандартные индивидуальные АРМы, при
необходимости объединяя функции разных модулей системы».
Следовательно, с точки зрения контроля за информационными
рисками имеет смысл осуществлять декомпозицию автоматизированных
систем до уровня выполняемых банковских операций. Такое разделение
позволит учитывать ущерб, который понесет банк в случае
невозможности выполнить заданную операцию (например,
формирование электронного макета межбанковских документов, отказ в
приеме документов по системе Клиент-банк, ошибку в формирование
обязательной отчетности или неверно начисленные проценты по
кредитным договорам), а с другой стороны построить схемы влияния и
выявить причину произошедших сбоев.
Очевидно, что выполнению любой операции в БИС предшествует
определенный набор действий, таких как ввод информации, контроль,
переходы между состояниями и т.д. На каждом этапе задействованы
различные исполнители, программные и технические средства.
Следовательно, можно сказать о том, что процесс выполнения любой
операции можно представить как технологию решения задачи,
состоящую из нескольких этапов.
Связь элементов технологии при решении структурированных задач
представлена на рис.13. В силу того, что в данном случае объединяются
свойства двух технологий – предметной и обеспечивающей – правила и
требования по каждому элементу описываются отдельно7.