Читать книгу Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов, Ю. Д. Земенков, Koostaja: Ajakiri New Scientist - Страница 23
1. Электронный банкинг и риски недостаточного обеспечения информационной безопасности
1.3. Актуальные направления регулирования в условиях электронного банкинга
1.3.1. Управление операционным риском
ОглавлениеПричиной повышенного внимания к операционному риску стал выход соглашения Базельского комитета по банковскому надзору (БКБН) «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» – Basel II. Соглашение Basel II является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.
Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.
В качестве возможных проявлений операционного риска можно выделить следующие типы событий:
– внешние воздействия (наводнения, пожары, аварии и т. п.);
– внутренние и внешние мошенничества;
– ошибки персонала;
– сбои в реализации бизнес-процессов и обслуживании клиентов;
– физический ущерб активам;
– сбои информационных систем;
– нарушение процессов обработки и хранения данных.
Требования, предъявляемые документами Basel II, были дополнены в документах Basel III, в том числе и в отношении операционного риска.
Отметим, что БКБН рекомендует привлекать к процессу управления рисками, возникающими при внедрении СЭБ в кредитных организациях, не только риск-подразделения, но и совет директоров, высшее руководство банка, а также топ-менеджеров банка.
Операционный риск является одним из основных типичных банковских рисков, на который в большей степени оказывают влияние СЭБ.
Он определяется как вероятность образования убытков и (или) неполучения прибыли вследствие сбоев в выполнении каждодневных, рутинных банковских операций. Применительно к ЭБ выделяются три главные зоны операционного риска:
1) функционирование системы безопасности;
2) привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг);
3) освоение новых технологий сотрудниками банка [78, с. 499].
В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации (искажение, уничтожение, перехват данных или злоупотребление ими в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов) и отказы в функционировании банковских информационных систем (возникновение перегрузок из-за недостаточной мощности аппаратно-программного обеспечения и целенаправленных DoS-атак на веб-серверы банка).
Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление банковских услуг в области информационных технологий посредством специализированных фирм (в первую очередь банки сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки оказываются в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко никак не связанных между собой, компаний, сотрудники которых могут и не обладать достаточными знаниями о специфике банковского дела.
Наконец, ускорение процесса модернизации информационных систем повышает требования к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов банков значительными проблемами[46].
Смысл управления операционным риском заключается в прогнозе периодичности различных сбоев и нарушений непрерывности функционирования аппаратно-программного обеспечения СЭБ и оценке величины вероятных убытков. Отметим, что у потерь есть и положительная сторона – они вскрывают слабые места и открывают новые возможности. Поэтому самая большая ошибка – сокрытие нежелательного инцидента. Даже после того, как устранены рисковая ситуация или последствия неблагоприятного события, нельзя оставлять произошедшее в тайне: гораздо лучше использовать инцидент в качестве наглядного урока для других сотрудников.
Формы проявления операционного риска в условиях ЭБ могут быть самыми разнообразными. Однако все они вызваны, как правило, несоответствием определенных процедур требованиям законодательства, несоразмерностью технических возможностей СЭБ и объема бизнеса, техническими сбоями и отказами оборудования, непреднамеренными или умышленными действиями персонала и внешних субъектов, что отвечает классическому определению операционного риска.
Минимизировать операционный риск в условиях ЭБ можно с помощью общепринятых стратегий:
– принятие риска (отказ от превентивных мероприятий, воздействие на источники риска, самострахование (в т. ч. через кэптивные страховые компании), диверсификация активов и т. д.);
– полная или частичная передача риска (страхование, хеджирование, синдицирование и т. п.);
– избежание риска (отказ от применения конкретной системы, профилактика как устранение источников риска и пр.).
46
В основном это связано с обучением персонала и совершенствованием методик проведения проверок специалистами риск-подразделений и служб внутреннего контроля.