Управление операционным риском в коммерческом банке
Дипломная работа - Банковское дело
Другие дипломы по предмету Банковское дело
ом случае понятие "риск" рассматривается как возможность наступления нежелательного события и/или количественной меры такого события, является преобладающей в науке. Риск вычисляется способом перемножения вероятности события на ущерб. Такого подхода придерживается большинство отечественных специалистов по анализу природного и техногенного риска. При этом, осознание того, что риск есть мера опасности - важнейший шаг в решении проблемы управления ситуацией, в которой наличествуют потенциальные факторы, способные неблагоприятно воздействовать на человека, общество и природу [21].
Общее определение риска дает Федеральный закон "О техническом регулировании" [2]. Здесь риск рассматривается как некоторая вероятностная категория, ассоциированная с понятием вреда и соответственно с возникающими финансовыми потерями.
Понятия "оценка рисков информационной безопасности" (Information Security Risk Assessments) и "управление информационными рисками" (Information Risk Management) появились сравнительно недавно, но уже прочно укоренились среди специалистов в области информационной безопасности, обеспечения непрерывности бизнеса и управления качеством. В мировой практике такая оценка применяется для снижения рисков управления, а точнее сказать, ответственности персонала за внезапно возникшие проблемы. Угрозы безопасности носят вероятностный характер и изменяются в процессе жизнедеятельности банка. Идентифицируя соответствующие угрозы, анализируя сопутствующие риски и принимая затем эффективные контрмеры, удается избежать риска, смягчить его, передать риск третьему лицу в виде эффективной программы страхования [22].
Операционная деятельность банка на всем протяжении ее осуществления сопряжена с многочисленными рисками, уровень которых возрастает расширением объема и диверсификацией этой деятельности, со стремлением менеджеров увеличить сумму операционной прибыли. Риски, сопровождающие эту деятельность, формируют обширный портфель рисков банка, который определяется общим понятием - "операционные риски". Согласно пункту 644 Базельского соглашения: "Операционный риск определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски".
Эти риски составляют наиболее значимую часть совокупных хозяйственных рисков банка. Система классификации операционных рисков по основным признакам приведена на рисунке 1.
Операционные риски являются объективным явлением в деятельности любого банка и проявляются как совокупность отдельных видов рисков. Виды операционных рисков весьма многообразны, поэтому в целях эффективного управления ими эти риски классифицируют с различной степенью их интеграции.
В системе операционных рисков особое место занимают информационные и телекоммуникационные риски кредитных учреждений.
Информационные и телекоммуникационные риски (IT-риски) - это опасность возникновения убытков или ущерба в результате применения банком информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.риски можно разделить на две категории:
риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);
риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.
Рис.1. Классификация операционных рисков
Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис.2). Стрелочками на схеме показаны информационные и финансовые потоки.
Рис.2 Структурная схема управления информационными рисками
Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные./IEC 27002 - стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он озаглавлен Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). До 2007 года данный стандарт назывался ISO/IEC 17799. Стандарт разработан в 2005 году на основе версии ISO 17799, опубликованной в 2000, которая являлась полной копией Британского стандарта BS 7799-1: 1999.
Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Информационная безопасность определяется стандартом как "сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации, а также методов её обработки) и доступности (гарантии того, что уполномоченные пользователи имеют доступ к информации и связанным с ней ресурсам)".
Текущая версия стандарта состоит из следующих основных разделов:
Политика безопасности (Security policy)
Организация информационной безопасности (Organization of information security)