Регулирование информационных и телекоммуникационных рисков в системе управления операционным риском кредитных организаций тема диссертации по экономике, полный текст автореферата
| Ученая степень | кандидат экономических наук |
| Автор | Пашковский, Дмитрий Александрович |
| Место защиты | Санкт-Петербург |
| Год | 2002 |
| Шифр ВАК РФ | 08.00.10 |
Диссертация
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Пашковский, Дмитрий Александрович
Введение
Содержание
Глава 1. Банковские риски, роль и место риска использования информационных и телекоммуникационных систем в кредитных организациях РФ.
1.1. Понятие и сущность риска, риск как научная категория.
1.2. Классификация рисков в кредитных организациях РФ.
1.3. Риск информационных и телекоммуникационных систем в кредитных организациях как составная часть операционного риска.
Глава2.Риски использования информационных и телекоммуникационных систем в кредитных организациях Российской Федерации: методы их регулирования.
2.1. Идентификация рисков использования информационных и телекоммуникационных систем в кредитных организациях.
2.2. Оценка риска использования информационных и телекоммуникационных систем.
2.3. Регулирование риска, использования информационных и телекоммуникационных систем кредитных организаций.
Глава 3. Механизм регулирования риска использования информационных и телекоммуникационных систем в кредитных организациях Российской Федерации.
3.1.Механизм регулирования информационных и телекоммуникационных систем в банковской сфере.
3.2. Методика управления рисками, связанными с использованием кредитными организациями информационных и телекоммуникационных систем.
Диссертация: введение по экономике, на тему "Регулирование информационных и телекоммуникационных рисков в системе управления операционным риском кредитных организаций"
Актуальность темы исследования.
Наблюдаемое в последние годы быстрое развитие научно-технического прогресса в области компьютерных и телекоммуникационных систем ставит перед кредитными организациями новые задачи в области развития информационных технологий, обеспечения их надежности и безопасности. Это обусловлено, в первую очередь, стремлением кредитных организаций удовлетворить потребности клиентов, возникающие с развитием их бизнеса, в особенности, переходящего национальные границы и требующего осуществления широкого спектра банковских операций с использованием информационных систем. Проведение операций с использованием компьютерных технологий позволяет кредитным организациям создавать наиболее благоприятные условия для привлечения новых клиентов и поддерживать конкурентные преимущества для уже существующей клиентской базы. Развитие информационных систем позволяет кредитным организациям проводить операции как в интересах самого банка, так и клиентов.
В настоящее время кредитные организации экономически развитых стран осуществляют широкий спектр банковских операций с использованием информационных технологий. Возникающий при этом операционный риск - это одна из новых проблем, с которой стокнулась банковская система не только Российской Федерации, но и развитых стран. В условиях современных финансовых рынков управление операционным риском становится важным элементом надежности.
Регулирование риска использования информационных и телекоммуникационных систем - становится одним из важнейших факторов обеспечения стабильности банковской системы Российской Федерации. Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.
В экономически и промышленно развитых странах теория и практика определения, ведения и управления операционным риском, регулирования со стороны контролирующих органов имеет сравнительно молодую историю. В нашей стране инструменты регулирования операционного риска в настоящее время не разработаны. Однако, существуют рекомендации Базельского Комитета по надзору за банковской деятельностью, в которых обобщён опыт международной банковской практики по определению, ведению и контролю за операционным риском.
Изучению аспектов банковского операционного риска посвящены труды видных экономистов и специалистов банковского дела: Антиповой ОН.; Геращенко В.В., Котекина C.B., Красавиной JI.H., Лаврушина О.И., Пискулова Д. Ю., Роуза П.С., Савинской H.A., Севрук ВТ., Симановского А. Ю., Соколинской М.Э., Коха Т., Синки Дж. Ф., Тосуняна Г.А. и др. В тоже время комплексное изучение проблем идентификации, анализа и регулирования риска использования информационных и телекоммуникационных систем в кредитных организациях, его роли в обеспечении стабильности банковской системы в условиях Российской Федерации до сих пор отсутствует.
Всё вышеперечисленное свидетельствует о необходимости теоретического осмысления экономической сущности риска использования информационных и телекоммуникационных систем в кредитных организациях и факторов его определяющих; обобщения имеющегося практического опыта и разработки методологических рекомендаций по управлению и контролю данного вида риска и определяет актуальность избранной темы диссертационного исследования.
Цель и задачи исследования.
Цель исследования состоит в развитии теоретических, методологических и прикладных аспектов управления, идентификации, оценки информационных и телекоммуникационных рисков, а также разработке методики организации контроля за состоянием данного риска на уровне кредитной организации.
Реализация поставленных целей предполагает решение следующих основных задач: исследовать экономическую сущность риска, соотношение с родственными категориями (лопасность, безопасность), выявить принципиальное значение безопасности как цели управления риском с позиций системного и нормативного подходов; изучить практику обеспечения безопасности информационных и телекоммуникационных систем кредитных организаций и определить направления ее возможного применения в Российской Федерации; исследовать методологические подходы к идентификации, определению и контролю за операционным риском, выявить недостатки и дать рекомендации по дальнейшему совершенствованию; определить основные направления регулирования операционного риска Банком России; обосновать необходимость регулирования операционного риска Банком России в целях реализации задач по поддержанию стабильности банковской системы; провести детальный анализ методов и инструментов управления информационным и телекоммуникационных риском применительно к деятельности кредитной организации и контролирующих органов, рассмотреть их особенности в условиях РФ; разработать методику организации контроля за состоянием риска информационных и телекоммуникационных систем в кредитной организации.
Объект и предмет исследования.
Объектом исследования является двухуровневая банковская система России, включающая кредитные организации, а также Центральный банк РФ.
Предметом исследования являются экономические и организационные отношения, возникающие в процессе регулирования риска использования информационных и телекоммуникационных систем российскими кредитными организациями.
Методологическая основа исследования.
Методологической основой исследования являются труды отечественных и зарубежных экономистов, посвященные теории и практике банковского дела, а также общеэкономическим проблемам. В процессе исследования использовася монографический и статистический материал, отдельные разработки международных финансовых организаций (в том числе, Базельского комитета по банковскому надзору и регулированию), материалы периодической печати, законодательные акты РФ и нормативные документы Банка России.
В основе исследования лежит диалектический метод, предполагающий изучение экономических явлений в их постоянном развитии и взаимосвязи. Применяются и такие методы исследования как сравнительный, логический и системный анализ, сопоставление, обобщение, синтез и другие методы познания сущности явлений.
Научная новизна.
Научная новизна определяется разработкой теоретических и методологических аспектов идентификации, оценки и регулирования информационных и телекоммуникационных рисков и методических подходов к ведению контроля за данным риском на уровне кредитной организации и Банка России, что выражается в следующих наиболее существенных результатах: уточнено содержание понятия банковского операционного риска как особого вида риска банковской деятельности, который имеет свойства как внешних, так и внутренних банковских рисков; систематизированы и развиты теоретические подходы к проблеме регулирования риска использования информационных и телекоммуникационных систем в системе обеспечения стабильности кредитных организаций; сформулированы методологические принципы идентификации, оценки и контроля информационных и телекоммуникационных рисков в кредитных организациях; предложен механизм регулирования Центральным Банком Российской Федерации информационных и телекоммуникационных рисков в целях проведения политики эффективного надзора за банковской деятельностью, рассмотрены его инструменты и процедуры; разработана методика организации контроля за состоянием риска использования информационных и телекоммуникационных систем на уровне кредитной организации.
В диссертации содержатся и другие новые научные результаты, характеризующие личный вклад диссертанта в исследование проблематики.
Теоретическая и практическая значимость.
Теоретическая значимость заключается в развитии теоретических представлений о сущности информационных и телекоммуникационных рисков и методологии их регулирования. Сформулированные в диссертации теоретические положения, касающиеся управления и контроля за информационными и телекоммуникационными рисками, доведены до уровня рабочих методик.
Практическая значимость работы выражается в том, что сформулированные методологические подходы к идентификации, анализу, и управлению информационными и телекоммуникационными рисками могут быть использованы при разработке и совершенствовании систем управления операционными рисками в кредитных организациях. Практическая значимость работы обусловлена возможностью её использования в процессе преподавания курсов Банковское дело, Банковское регулирование.
Реализация базовых положений, выводов и предложений будет способствовать эффективному выпонению Центральным Банком Российской Федерации функций в области банковского надзора, рациональному контролю за состоянием операционного риска со стороны кредитных организаций, а также в целом повышению эффективности деятельности кредитных организаций и банковской системы Российской Федерации.
Апробация работы.
Основные положения диссертационного исследования опубликованы в брошюрах и статьях общим объемом 2,6 печатных листа, кроме того, они доложены на III межвузовской конференции аспирантов и докторантов Санкт-Петербургского государственного инженерно-экономического университета.
На основе материалов диссертационного исследования автором были разработаны Методические рекомендации по управлению рисками, связанными с использованием информационных и телекоммуникационных систем в деятельности кредитных организаций, которые используются в деятельности ряда кредитных организаций г. Санкт-Петербурга, что подтверждено соответствующими справками.
Отдельные теоретические и практические положения работы используются в учебном процессе кафедры Финансы и налоги СПбГИСиЭ, при чтении курса Банковское дело, а также в учебном процессе Санкт-Петербургской банковской школы.
Диссертация: заключение по теме "Финансы, денежное обращение и кредит", Пашковский, Дмитрий Александрович
Данные выводы подтверждены на практике результатами деятельности в данной области ряда кредитных организаций г. Санкт-Петербурга. 3.2. Методика управления рисками, связанным с использованием кредитными организациями информационных и телекоммуникационных систем.
В соответствии с теорией управления кредитной организацией, основной формой управления является менеджмент - система принятия и реализации решений, направленных на достижение оптимального, наилучшего из возможных, варианта использования материальных, трудовых и финансовых ресурсов.
Одной из функций менеджмента в кредитной организации является контроль за соответствием фактически достигнутых результатов запланированным и внесение необходимых корректировок. Служба внутреннего контроля кредитной организации дожна быть ориентирована на ограничение принимаемых рисков и на обеспечение порядка проведения операций, при условии достижения кредитной организацией ориентиров деятельности, соблюдении требований банковского законодательства, нормативных актов Банка России, общепринятых стандартов и правил делового оборота.
Служба внутреннего контроля является главным компонентом организации контроля за уровнем риска, возникающем в деятельности кредитной организации при использовании информационных и телекоммуникационных систем. Целью Службы внутреннего контроля за состоянием информационных и телекоммуникационных систем является повышение эффективности деятельности кредитной организации в области идентификации, оценки и контроля риска, возникающего при использовании данных систем.
Методика внутрибанковского контроля за состоянием риска использования информационных и телекоммуникационных систем при соблюдении заложенного в них порядка, позволяет достичь вышеуказанную цель за счет: контроля и обеспечения выпонения подразделениями и специалистами кредитной организации требований и принципов: a) действующего законодательства в области защиты информации; b) внутрибанковских документов, регламентирующих процедуры и пономочия в области идентификации, оценки и управления рисками; c) стандартов профессиональной деятельности; контроля за достоверностью, точностью и адекватностью идентификации, оценки и управления рисками, возникающим при использовании информационных и телекоммуникационных систем и операционным риском; обеспечения минимизации отрицательного влияния факторов операционного риска на результаты деятельности кредитной организации; профессионализма сотрудников службы внутреннего контроля (аудита) и поноты методики контроля; принятия своевременных и эффективных решений, направленных на устранение выявленных недостатков и нарушений в деятельности банка.
Предлагаемые методические рекомендации имеют своей целью обозначить проблемы и обеспечить понимание руководителями кредитных организаций, как руководителей высшего звена, необходимости управления рисками, возникающим при использовании информационных систем, а также разработки и внедрения собственных мер и процедур безопасности. 3.2.1. Роль руководства кредитной организации в управлении безопасностью информационных и телекоммуникационных систем. 3.2.1.1. Контроль руководства.
Ответственность за безопасность информационных систем перед угрозами различного типа, существенным образом связана с установленным процессом управления. За безопасность информационных систем в каждой конкретной кредитной организации несет руководство банка.
Обеспечение конфиденциальности, целостности и доступности данных требует разработки соответствующих процедур и правил контроля за их реализацией. Руководство кредитной организации дожно в письменной форме установить чёткие правила политики безопасности и обеспечить их испонение и поддержку в процессе осуществления. Прежде всего, руководящий орган кредитной организации дожен установить адекватные процедуры и требования, касающиеся безопасности, позволяющие минимизировать вероятность наступления негативных факторов. Превентивные меры дожны найти выражение в тщательно подобранном месте размещения компьютерного центра.
Для работы и установления правил политики информационной безопасности рекомендуется создание высшим руководством кредитной организации соответствующего комитета. Работой комитета дожен управлять руководитель соответствующей квалификации, член Совета директоров.
Для осуществления кредитной организацией успешной деятельности ей необходимо общественное доверие, которое выражается, в том числе, в значительном количестве информации, характеризующийся высокой степенью конфиденциальности, предоставленной клиентами, при этом раскрытие либо утрата информации, может привести к утрате деловой репутации и доверия. Область конфиденциальности надлежит заранее определить: какая информация и в какой сфере подлежит (безотносительно формы представления) абсолютному запрету на публикацию (временному либо частичному). В связи с этим, необходимо иметь точные правила классификации информации (передачи данных).
Использование в кредитных организациях информационных систем может потребовать, при некоторых обстоятельствах, сотрудничества с внешними специалистами. Установление форм, методов и области такого сотрудничества лежит в сфере компетенции руководства кредитной организации, также как и допуск внешних экспертов к работе комитета, определяющего политику безопасности информационных систем. 3.2.1.2. Политика в области безопасности информационных систем.
Целью безопасности информационных систем является обеспечение конфиденциальности, целостности и доступности ресурсов, позволяющих обработку, пересыку и хранение системных данных гарантировать с точки зрения достоверности, надежности и авторизованного использования. Таким образом, надлежит установить и реализовывать соответствующую политику безопасности. Политика безопасности систем организации, касающаяся организационных правил планирования и эксплуатации, дожна иметь наивысший ранг и быть доступной для всех работников, ответственных за безопасность информации.
Политика обеспечения безопасности дожна как минимум содержать следующие элементы: определение информационной системы, целей деятельности, ценность информации хранимой в системе; положение, определяющее намерения и волю руководства кредитной организации, хранить в безопасности информацию; определение информационной безопасности и вопросов доступа к информации; определение существующих угроз, вероятной сферы их возникновения; расчёт издержек на обеспечение гарантированной защиты; => определение правил политики и стандартов касающихся требований: согласования с действующим законодательством и общепринятыми условиями договоров, относительно безопасности систем; необходимого уровня образования, требуемого для обеспечения безопасности информации; тестирования и предупреждения (профилактика) вирусов; обеспечения непрерывности планирования и утверждения изменений, принятия и использования новых информационных технологий; производства и хранения запасных и архивных копий; => определение общей и частной области ответственности для всех сотрудников за обеспечение сохранности информации; определение правил предоставления отчётов по всем вскрытым либо возможным угрозам, касающихся возможности злоупотреблений, порядка их устранения и предупреждения повторения. Кроме того, дожна проводиться аналитическая работа по идентификации слабых мест обеспечения безопасности систем, правил реализации критических схем в аварийных ситуациях, катастрофах либо стихийных бедствиях (аварийные планы).
Для обеспечения безопасности выпонения операций обработки информации, необходима разработка в кредитной организации соответствующих и надлежащим образом задокументированных процедур и областей ответственности. Такие процедуры дожны быть изложены чётким и доступным для понимания рядовых пользователей языком и дожны касаться: всего программного обеспечения, функционирующего в кредитной организации; правил создания, тестирования и эксплуатации нового программного обеспечения; правил и способов надлежащего хранения собранных данных, архивирования и возможность доступа к ним; порядка действий в случае обнаружения ошибок; использования вспомогательных (резервных систем) в случае возникновения технических проблем; порядка действий в случаях сбоев (процесс восстановления).
Из обязательных процедур, которые кредитные организации обязаны выпонять - это разделение функций, а именно: функции администрирования систем, управления сетью, ввода данных, технического обслуживания компьютеров, ремонта системы и её развития, дожны быть отделены от администрирования безопасностью компьютерных систем, а также аудита информационных систем.
Разделение и независимость выпонения функций тестирования от эксплуатационных, предупреждает появление неожиданных и нежелательных изменений используемой рабочей версии системы. Тестирование новой системы и работа действующей версии - дожны производиться на разных компьютерах, в разных каталогах и т. д. Тестируемая система дожна быть удалена от эксплуатируемой версии (и в физическом смысле тоже). Используемое в постоянной работе программное обеспечение дожно иметь индивидуальный, собственный, часто меняемый пароль доступа.
Письменные правила дожны определять порядок действий в случае каких-либо инцидентов: сбоях в системе, потери данных, выявление ошибочных и/или непоных операционных данных, нарушение конфиденциальности информации. В каждом из таких случаев дожно быть обеспечено проведение идентификации и анализа причин аварийных ситуаций. В процедурах следует уделять внимание правилам анализа слабых мест функционирующей системы, планированию средств по восстановлению, тестированию и эксплуатации.
Процедуры дожны быть направлены на предупреждение и вскрытие причин на стадии возникновения потенциальных угроз, влияющих на выпонение банковских операций. Процедуры дожны обеспечить невозможность выпонения операций несовместимых с существующим законодательством, а также без предварительного контроля на безопасность. Дожна быть указана возможность использования альтернативных компьютерных, коммуникационных сетей в аварийных случаях, согласующаяся с процедурами выявления ошибок и планами послеаварийного восстановления функционирования системы, повреждённой в результате инцидентов. Организационные процедуры дожны быть тесно связаны с политикой безопасности информационных систем перед возможными убытками, вызванным злоупотреблениями работников, уничтожением программ, компьютерного оборудования, а также тратами на восстановление утерянных данных.
Политика использования внешних организаций для обеспечения работы информационных систем, а также совместная деятельность с ними (поставщиками оборудования, программного обеспечения, средствами обработки данных) потенциально может привести к утрате данных. Необходима идентификация области риска, проведение профилактики, а также разработка сценария (моделирование риска) в наиболее невыгодном сочетании, которое нельзя исключить. Руководством кредитной организации дожны быть тщательно продуманны основные требования к обработке строго конфиденциальной информации (такой риск необходимо минимизировать путём кодирования системы, шифрования и т. п.).
Правила политики безопасности дожны принимать во внимание вышеупомянутые внутренние и внешние условия, а также предохранять от некорректного выбора программного обеспечения, предупреждать инсталяцию технически несовместимых программ, позволяющих проводить неавторизованный доступ и повреждение информации (например, сетевые вирусы, "троянский конь", "логические бомбы"). Кроме того, следует тщательно продумать и предусмотреть совместимость собственного программного обеспечения с поставляемым на предмет безопасного функционирования информационных систем.
При разработке правил политики дожна быть проведена классификация уровней безопасности информации, для целей собственной безопасности, а также установления правил взаимодействия между пользователями. Правила политики безопасности следует периодически анализировать и актуализировать в соответствии с изменениями организационных условий. 3.2.1.3. Планирование масштабов информационных систем.
Планируя развитие или разработку информационной системы, следует уделить внимание вопросу будущих потребностей пользователей, в связи с этим необходимо предусмотреть возможность модернизации информационного оборудования. В целях исключения ограничений и потенциальных угроз, связанных с функциональной неспособностью информационной системы к модернизации и развитию, рекомендуется прогнозировать будущие потребности в оборудовании, а также информационных услугах, проводя мониторинг существующих тенденций в области развития новых технологий.
Прогнозы и планы дожны учитывать маркетинговую стратегию кредитной организации (освоение новых продуктов), конкурентоспособность на финансовом рынке (дальнейшая интеграция Российской Федерации в международную экономику), анализ рисков, модернизацию существующих указаний и правил контролинга, реализацию требований, предъявляемых внешними органами (например, Банком России). Особое внимание дожно быть уделено соответствующему выбору оборудования, программного обеспечения и возможности их конфигурирования. Важными параметрами системы является: соответствие принятым стандартам, производительность, быстродействие, способность функционировать в случаях обнаружения ошибок и проведения процедур послеаварийного восстановления (скорость ремонта). Плановые изменения в системах требуют оценки их влияния на существующий бухгатерский учёт, операции документирования, возможность идентифицировать изменения и контролировать их.
Выбор новых технических решений, порядок приёма и тестирования перед принятием окончательного решения о закупке, дожен быть согласован с существующими процедурами, установленными в кредитной организации. Следует обратить внимание на то, чтобы запуск новых систем не прекратил работы ранее принятых - обеспечено бесперебойное функционирование кредитной организации. Необходимо планирование соответствующего обучения для пользователей.
Планируя масштабы информационной системы, следует учитывать необходимость соблюдения безопасности в случаях аварии оборудования либо наступления форс мажорных обстоятельств (пожар, наводнение и т.п.), а также выпонения обязательного архивирования данных. В связи с чем, необходимо установить: частоту и область копирования информации (backup) на внешних носителях, для целей восстановления в случаях сбоев; ведение регистрационного журнала в системе (log); периодичность и метод архивирования информации. Недостаточно продуманный выбор малоэффективных технических решений, в случае увеличения масштабов обрабатываемой информации может привести к значительным расходам, связанным с необходимостью замены. Особенно нежелательно иметь систему, которая не является общепринятой, так как существует потенциальная возможность выхода правового акта, регламентирующего порядок использования только определенного стандарта в информационной системе.
Заключаемые договоры с внешними поставщиками оборудования, программного обеспечения и информационных услуг дожны особо оговаривать права и обязанности сторон в части ответственности, включающую в себя и материальную.
3.2.2.2. Инфраструктура обеспечения контроля и управления безопасностью информации.
3.2.2.2.1. Анализ существующих угроз и методы обеспечения безопасности.
Реализация обеспечивается посредством инструментов, содержащихся в операционных системах (сети и/или компьютера), специального программного обеспечения, применения готовых технических решений, предусмотренных для оборудования, аудита, управления конфигурацией, организационных мероприятий, проводимых в профилактических целях в случаях нарушения обеспечения при аварийных и форс-мажорных обстоятельствах.
В процессе планирования обеспечения дожна быть определена ценность ресурсов информационной системы, проведена их классификация, установлены правила инвентаризации, сотрудники и область их ответственности с разграничением допуска к модификации системы обеспечения, проведён учёт факторов, влияющих на вероятность наступления угроз. Идентификация угроз дожна происходить заранее: определен тип риска, проведён его анализ, установлены процедуры управления риском посредством выбора, проведения тестирования и применения новых либо уже принятых механизмов обеспечения - минимизируя риск до уровня, приемлемого для кредитной организации.
Выбор метода обеспечения безопасности информационных систем, дожен быть адекватен их роду, типу риска и результатам, проведенного кредитной организацией анализа окупаемости выбранных инструментов, например: возведение противопожарной стены; использование криптографии; проведение контроля помещений; проверка пользователей (установление паролей одно и многочастных, достаточно часто сменяемых); использование многоуровневого контроля доступа и собственных информационных ресурсов; функциональное разделение системы (классификация пользователей для определения лимита денежной суммы, в пределах которой могут проводиться сдеки и т. д.). Независимо от обеспечения применяемого в информационных системах обязательно создание физической безопасности (запасной центр, архив на оптических дисках), а также проведение организационных мероприятий (разделение процесса создания программного обеспечения на отдельные фазы: проектирования, тестирования, моделирования, экспериментальной и промышленной эксплуатации).
Обязательно использование резервных копий (backup), а также текущей регистрации (log), что позволит восстановить ресурсы в случае утраты данных в информационной системе.
Комплект резервных копий (backup) дожен храниться отдельно, на соответствующем удалении от информационной системы, при надёжном обеспечении физической безопасности. Минимальный комплект копий дожен обеспечивать восстановление системы после аварии, в зависимости от типа используемой системы. Следует установить правило, в зависимости от частоты изменений и ценности данных, копировать информацию за последние 14 дней, не реже одного раза за три последних рабочих дня. Данные эти необходимо регулярно проверять на возможность их использования (проводить оценку состояния) в случаях сбоев в работе систем.
Создаваемые в системе регистрационные журналы (log) дожны содержать список всех необходимых факторов: время (от момента начала работы до завершения); выявленные ошибки; сделанные исправления; подтверждение поступления необходимых данных. Кроме того, дожна быть предусмотрена возможность распечатки данных.
Необходимо установить понимание того факта, что за безопасность информационных систем в каждом случае отвечает, как владелец собственности, так и пользователь системы. Определение ответственности дожно быть достаточно точным и иметь персонализированный характер. Следует предусмотреть разделение ответственности за безопасность информационных систем с позиции дожностных обязанностей и соответствующей области ответственности. Делегирование пономочий не снимает ответственности за безопасность информационных систем с собственника. На уровне руководства кредитной организации дожны быть установлены требования: авторизации пользователей с точки зрения реализации целей и задач кредитной организации (цели и условия эксплуатации); технического утверждения (правил инсталяции, работы в сети, взаимодействию между пользователями). 3.2.2.2.2. Безопасность системной документации.
Документация информационных систем может включать, например, описание процессов работы, спецификации программных продуктов, процедур, структуры данных, процессы авторизации и т. п. Следует предусмотреть: список установленного программного обеспечения для целей бухгатерского учёта; список программ с письменным подтверждением допуска к промышленной эксплуатации (каждой новой программы, либо модифицированной); описание назначения каждой программы, порядка её функционирования (правила вычислений, учёта, контроля и распечатки данных), а также использование во время обработки данных; правила по соблюдению сохранности данных, создание резервных копий; методы обеспечения надлежащего обращения с программами; правила учёта процессов обработки данных.
Кредитная организация дожна обладать разработанной и письменно оформленной стратегией доступа к информации и информационным системам. Всё программное обеспечение дожно содержать точное определение процедур и правил доступа, которые определяют права доступа отдельных пользователей/групп, методы авторизации и актуализации списка пользователей, а также паролей.
Документация дожна храниться в сейфе с соблюдением правила: документация сгенерированная системой дожна находится отдельно от места получения данных. В каждом случае необходимо установление требуемого уровня безопасности и разграничения прав доступа: составление списка упономоченных лиц, одновременно со списком уровня доступа (полный или ограниченный), реализуемого посредством использования соответствующих программных приложений.
В случае доступности документации для внешних пользователей (в связи с предлагаемыми кредитной организацией услугами), необходим тщательный отбор таких материалов. Каждая замена данных и программного обеспечения дожна предусматривать меры безопасности, предпринимаемые к недопущению утраты данных, неконтролируемым модификациям, несанкционированному доступу и ослаблению контроля. Использование программного обеспечения дожно следовать из формализованных правил. Содержащиеся в них требования по соблюдению осторожности ограничивают юридический и организационный риск: утраты данных, неконтролируемым модификациям, несанкционированному доступу. Требования дожны быть пропорциональны конфиденциальности (важности) банковской информации. Дожна быть обеспечена охрана авторских прав. Обмен информацией с другими пользователями может происходить только с учётом соблюдения авторских прав в области обмена информацией.
В случае нарушения конфиденциальности, целостности и доступности информации, кредитная организация обязана реализовывать аварийные планы действий, которые дожны учитывать банковскую специфику (вид и форму, например, электронный денежный трансферт, валютные сдеки, аккредитивы и т. п.) и стоимость проведения транзакций. Данную документацию необходимо хранить в специально выделенных помещениях и постоянно актуализировать в соответствии с проводящимися заменами в информационных системах кредитной организации.
Дожны быть установлены процедуры создания, хранения и получения доступа к актуальным паролям доступа.
3.2.2.2.3. Контроль за оборудованием, программным обеспечением и сетью
Обработка данных в кредитной организации дожна проходить в соответствии с принятыми процедурами и соблюдением правила разграничения ответственности. Деятельность по обеспечению бесперебойной работы системы и выпонения ремонтных работ, в каждом случае дожна состоять из формализованных процедур, и их выпонение дожно проводиться под тщательным контролем. Ремонтные работы может проводить только специально определенный персонал. В каждом случае дожна составляться точная документация проводимых ремонтных работ, а также направляться отчет руководству кредитной организации.
Контроль за сетевыми ресурсами имеет своей целью минимизировать угрозы безопасности информации доступной посредством сети. Механизмы контроля, установленные для сохранения конфиденциальности и целостности данных, дожны быть эффективны, и препятствовать утечке информации и нелегальному их изменению. Деятельность, связанную с контролем за сетью и компьютерами, следует тщательно координировать в целях оптимизации услуг, а также обеспечения соответствующего уровня безопасности в рамках информационной инфраструктуры кредитной организации. Порядок обращения с носителями информации любого рода (дисками, лентами, дискетами, CD-ROM, и т. п.) дожен обеспечивать предупреждение возможного повреждения оборудования и сбоев в системе. Контроль за единичными носителями данных (дисками, лентами, дискетами, CD-ROM, и т. п.) и в особенности: идентификация таких носителей, хранение и перенос на них информации, место и способ безопасного хранения, способ и форма авторизации изменений и использования данных, определение порядка ликвидации ненужных данных -дожен осуществляться с принятыми в кредитной организации процедурами безопасности. Упорядочивание всех носителей, установление формализованного списка авторизованных пользователей, обеспечение комплектности входящих данных, точный учёт всех копий данных, сделанных авторизованными пользователями, применение подтверждения правильности всех переданных данных, систематический обзор и авторизация списков пользователей данными и услугами имеет своей целью оградить информацию от неавторизованного доступа, несанкционированного и ненадлежащего использования.
Для надлежащего обеспечения безопасности межбанковских трансакций (сделок, операций) необходимо сотрудничество с другими кредитными организациями в области обмена опытом и предложениями, вытекающим из анализа выявленных случаев мошенничества. Обмен информацией дожен быть лимитирован, для того чтобы не была нарушена ни банковская, ни служебная тайна, имеющиеся в кредитной организации. Во взаимных договорах дожна быть определена область передаваемой информации.
Руководство кредитной организации ответственно за передаваемую информацию: её подтверждение, обеспечение выпонения технических стандартов при передаче и стандартов идентификации. Ответственность дожна распространяться не только на возможность утраты данных, но также и подверженность кредитной организации опасности несанкционированного доступа третьих лиц к информации во время передачи или передачи к внешним средствам обработки.
Обеспечение конфиденциальности данных дожно осуществляться самой кредитной организацией: выбор надежных средств передачи (например, курьеры), использование средств криптографии, физическая охрана носителей информации (например, использование разного рода закрываемых средств), передача данных под роспись, и т. п. Информация, подверженная риску утери, несанкционированного доступа к ней (причины, которые могут привести кредитную организацию к серьёзным расходам и убыткам материальными и моральными, например, потеря деловой репутации надежного партнера), дожна, по мере возможности, передаваться по нескольким каналам связи и частями, чтобы в случае несанкционированной расшифровки и попытке использования это было максимально затруднено.
В целях минимизации риска следует дожным образом осуществлять соответствующий выбор средств телекоммуникации. Электронная почта отличается от традиционной скоростью передачи данных, а также структурой информации. При использовании электронной почты, необходима выработка чёткой политики кредитной организации в отношении статуса электронной почты, её использования, разработки действенного механизма контроля за ней. Пользователи при работе с электронной почтой дожны быть гарантированы от несанкционированного изменения каналов сообщений и риска ошибки (например, неправильно указан адрес получателя). Следует считаться с тем, что существуют правовые ограничения, такие как потенциальная необходимость документирования происхождения информации и средства её передачи, которые не защищают кредитную организацию перед риском неупономоченного использования.
Выявленные в процессе проводимого контроля случаи нарушения принятых в кредитной организации правил доступа - дожны быть доведены до сведения руководства.
3.2.2.2.4. Безопасность информационных систем, деятельности персонала и упономоченных третьих лиц.
Дожно быть обращено пристальное внимание на статистику высокого процента внутренних пользователей, нарушающих правила безопасности. В связи с этим рекомендуется очень тщательный отбор, с точки зрения профессиональной подготовки и личных качеств, работников задействованных на позициях, дающих доступ к особо важной информации. Необходима комплексная проверка всего пакета документов, предоставляемого кандидатом на дожность, начиная от удостоверения личности и заканчивая проверкой на предмет привлечения к уголовной ответственности. Трудовой договор либо особое соглашение дожны содержать пункт о необходимости сохранения служебной тайны, а также особо оговорён период действия таковых обязательств. С содержанием данного документа потенциальный сотрудник дожен ознакомиться уже на этапе приема на работу. Следует принять правило, что перед поступлением на работу вновь принятый сотрудник письменно подтверждает в соответствующем соглашении факт точного знакомства со своими правами и обязанностями в области использования компьютерной системы. Подписывается также свидетельство об ознакомлении с правилами хранения конфиденциальной информации. Кроме того, дожна быть установлена служебная тайна в области оборудования и информационных систем, а также технологий обработки данных, применяемых в кредитной организации, в том числе и после увольнения, соответствующий период времени.
Для сокращения риска ошибок персонала и самовольного использования оборудования и информации, требуется ряд мер со стороны руководства кредитной организации. Руководителям трудового колектива необходимо разделять задания между отдельными сотрудниками, с конкретизацией указаний, касающихся их выпонения, определение границ пономочий, получение соответствующих письменных свидетельств, передача паролей или любых других средств контроля доступа, сохранение отчётов по всей деятельности, выпоняемой пользователями системы и паролях, которыми они пользовались. Риск неточного, непоного или многократного введения данных дожен быть исключён путём соответствующей процедуры контроля (например, проверка и исправление правильности данных, контроль при помощи баз данных, подведением баланса, проведенных операций, регистрацией позиции до выяснения и надзор за дальнейшими действиями, и т. п.). После завершения работы - носители информации (если таковое предусмотрено технически) дожны быть демонтированы и обеспечена их сохранность от доступа лиц на то не упономоченных.
Риск основывается на том, что неупономоченные лица могут найти доступ к функции обработки данных в программах пользователей, применить процедуры инициирования, подтверждения и регистрации хозяйственных операций и получить доступ к данным. Риск дожен быть минимизирован путем установления контроля доступа, гарантирующего идентификацию пользователя и удостоверение его личности с признанием соответствующих прав доступа, обеспечением конфиденциальности пароля. Во время отсутствия постоянного пользователя компьютера доступ прочих неупономоченных лиц дожен быть невозможен. Пользователь терминала дожен быть ответственным за все действия выпоняемые с его компьютера. Передача пономочий дожна осуществляться точно в соответствии с указаниями руководства и дожна документироваться.
Лица, ответственные за безопасность информационных систем, не дожны выпонять те функции, которые связаны с работой по их обслуживанию. За доступ отвечает лицо, которое несёт ответственность за систему. Ответственность за безопасность значительной по размерам сети, занимающей обширное пространство, может быть возложена на соответствующую группу, назначаемую в соответствии с принятыми в кредитной организации процедурами.
В случае профилактического осмотра оборудования либо его ремонта, необходимо удостовериться, что на нем не содержится информация. Договор между кредитной организацией и организацией, осуществляющей сервис, дожен определять процедуры действий в случае наступления каких-либо заранее прогнозируемых ситуаций, прежде всего процедуры безопасности возможной потери данных. Допонительно договор дожен содержать гарантии для кредитной организации на получение всей информации об изменениях внесенных в компьютеры и их логические функции, а также об обязанности сохранения тайны сервисной организацией. Кредитная организация обязана вести учёт ремонтных работ и хранимого оборудования, содержащий персональные данные лиц его выпонявших, дат проведения работ и род неисправностей.
3.2.2.2.5. Взаимодействие с клиентами.
Следует обратить внимание на особую сферу деятельности кредитной организации, подверженной риску нарушения безопасности хранения данных -это сотрудничество с клиентами банка, реализуемое с помощью компьютерных и телекоммуникационных организаций (например, система домашнего banking). Доступ третьих лиц к организации и компьютерному оборудованию дожен жестко контролироваться и происходить анализ риска раньше его возникновения. Делать возможным доступ следует после предварительной работы по подписанию формального документа специально определяющего условия доступа. Необходимо точное указание в договоре проблем, связанных с разного рода рисками, а именно: общих правил охраны и раскрытия информации; разрешенных методов контроля доступа (коды, пароли, идентификаторы); дат и времени доступа; список авторизованных лиц (спецификация); каналов доступа; области ответственности сторон; область обязанностей нормируемых правовыми актами, в том числе и связанных с необходимостью охраны данных; права собственника по мониторингу системы доступа третьими лицами; ответственность в области инсталяции, а также обслуживания оборудования и программного обеспечения; права аудита соответствия договоров; права в области копирования и раскрытия информации; физическая безопасность информации; сообщение и надзор за случаями мошенничеств.
Соответствующая часть договора между клиентом и кредитной организацией обязывает к охране средств, депонируемых в кредитной организации, сохранению банковской тайны, получению услуг, надлежащего качества, оговоренных договором и нормативными документами, а также взаимными обязательствами сторон.
Мониторинг за соблюдением договорных условий (в особенности анализ клиентов, имеющих доступ к информационным системам), дожен быть утвержден как обязательная процедура в данной области.
Клиенты кредитной организации, перед получением доступа к терминалу (модему и т.п.), дожны подписать свидетельство о конфиденциальности информации.
3.2.2.2.6. Обучение пользователей.
Пользователи дожны быть обучены в области знаний процедур безопасности и надлежащего использования оборудования и информационных систем. Сфера тематических занятий дожна позволить обстоятельно познакомиться с процедурами использования оборудования и программного обеспечения, а также процедурами, принятыми в области безопасности систем, обеспечивающими конфиденциальность, целостность и доступность.
В период обучения пользователи дожны на примерах ознакомиться с ситуациями, которые могут иметь влияние на безопасность систем, получить знания в области формально-правовых процедур действия в случаях фактической (либо подозрительного характера) угрозы безопасности системы, а также правилами немедленного сообщения руководству кредитной организации об инцидентах. Порядок подачи служебных рапортов касается всех случаев работы систем не в соответствии с их назначением.
Персонал кредитной организации дожен быть обучен в области профилактических мер по избежанию вирусов в информационных системах, с акцентом на изучение новых носителей информации, используемых в работе и тщательным отслеживанием всех сообщений и информации, появляющейся на экранах мониторов. В случае обнаружения вирусов, внутренними процедурами дожно быть предусмотрено прекращение использования системы, изолирование средств, имеющих подозрение на наличие вируса, и, немедленное, информирование технической службы по обслуживанию компьютеров и руководства.
Для сохранения безопасности системы, кредитная организация дожна разработать формализованный процесс дисциплинарных действий с лицами не соблюдающими процедуры и ознакомить с ними пользователей в период обучения.
3.2.2.2.7. Физическая безопасность информационных систем.
Обеспечение физической безопасности в кредитной организации дожна быть адекватна масштабу и типу информационных систем, а также предоставляемым клиентам услугам Значительные по размеру хозяйствующие организации, каковыми являются многофилиальные кредитные организации, имеющие территориально развитую сеть, обладающие собственным центром обработки данных, могут потребовать обеспечения высшей степени физической и информационной безопасности.
Следует определить уровень физической безопасности, а также процедуры противопожарной безопасности пропорционально стоимости оборудования и величине потенциальных потерь, которые могут наступить в случае повреждения оборудования.
Для компьютерного оборудования и носителей информации, безопасность дожна быть обеспечена путём определения пространства, усиленно охраняемого. Центр обработки данных дожен обладать физической безопасностью, равно как перед стихийными бедствиями (пожар, наводнение, взрыв и т.п.), так и злоумышленных действий. Рекомендуется, чтобы центры информационных услуг и центр систем организации, были расположены в физически выделенных зонах, предотвращающих возможность пребывания в них лиц на то не упономоченных. Размещение информационного центра дожно обеспечить невозможность широкого доступа посторонних лиц в виде, а именно: отдельный вход, выделенная часть здания (без доступа лица на то не упономоченных), особой, закрытой комнаты, физические барьеры, делающие невозможным доступ к компьютерному оборудованию и т. п.
Следует обратить внимание на соответствующий уровень безопасности соседствующих помещений. Рекомендуется отказаться от идентифицирующих дверных табличек, указателей, информационных сообщений и т. п., а также указания телефонных номеров в телефонных справочниках, то есть всего того, что легко позволяет определить местонахождение внутренних и внешних помещений, в которых происходит обработка данных. Цель - ограничить распространение информации среди персонала кредитной организации, не связанного с работой информационных систем, о местах обработки информационных данных.
Необходимо соответствующее оборудование помещений датчиками тепла и дыма, установки сигнализации, противопожарного оборудования, эвакуационных выходов, и т. п. Процедуры действий в чрезвычайных ситуациях дожны быть разработаны в письменном виде и периодически проверяемы на соответствие условиям угроз, а сотрудники обучены в области правил противопожарной обороны. Небезопасные и легковоспламеняемые материалы дожны находиться на безопасном расстоянии от компьютерного оборудования. Легковоспламеняемые материалы следует хранить с соблюдением правил противопожарной безопасности. В случаях временного отсутствия сотрудников в помещении, окна и двери дожны быть закрыты, а системы сигнализации включены.
Контроль за физическим доступом в помещение информационного центра дожен быть регламентирован соответствующими процедурами и параметрами доступа, указанных ситуаций и лиц, допущенных к пребыванию в специально выделенных помещениях. Следует определить метод установления, регистрации и контроля: прав доступа и их актуализации (например, исключение доступа сотрудников, уволенных с работы); идентификации персонала; времени входа и выхода.
Кредитная организация дожна располагать процедурами действий, в отношении лиц, выявленных в зонах, исключенных для доступа посторонних.
По оставлению сотрудниками выделенных помещений, дожна быть обеспечена физическая безопасность (соответствующий вид блокирования) и контроль. Вспомогательный персонал и лица, имеющие необходимость на осуществление ремонтных работ, могут иметь доступ к выделенному информационному центру только, если существует на то необходимость, после получения соответствующей авторизации их доступа и под пристальным наблюдением ответственных лиц. Процедуры поведения в информационном центре не дожны допускать фотографирования, проигрывания магнитофонных лент, видеокассет, и т.п., иначе как лицами на то упономоченным и получившим разрешение на такую деятельность.
Анализируя обеспечение конфиденциальности и доступности данных в информационном центре, следует иметь в виду использование таких средств как: принтеры, сканеры и факсы. Для охраны данных от их несанкционированного копирования, необходимо создание условий контроля за использованием вышеуказанных средств.
3.2.3. Внутренний контроль и надзор. 3.2.3.3.1. Внутренний контроль
Руководство кредитной организации ответственно за создание в рамках службы внутреннего контроля сектора, отвечающего за организацию контроля за безопасностью информационных систем. В служебные обязанности службы внутреннего контроля дожно входить: оценка уровня охраны данных; оценка качества и эффективности используемого в кредитной организации оборудования и программного обеспечения; мониторинг и контроль риска.
Дожен быть установлен особый контроль службой внутреннего контроля, если кредитная организация имеет: письменные правила политики и процедуры безопасности, а также управления безопасностью информационных систем (если они существуют, то насколько точно они выпоняются); список данных представленный в бухгатерских книгах учёта тому, что существует на магнитных носителях; документацию на систему электронной обработки данных, на соответствие принятым правилам; а также, насколько обеспечивается: правильность оценки активов и пассивов; понота и надёжность выпонения программ текущего контроля; скорость доступа к данным для операционных целей; адекватность информации, поступающей руководству кредитной организации; правильность и срочность представления информации для внешних учреждений; архивирование и охрана данных в соответствии с принятыми правилами. Инспекторы, аудиторы или специалисты дожны систематически проводить независимое тестирование системы безопасности и контроль процедур. Периодичность и глубина изучения тестируемых параметров связана с существующей областью деятельности и дожна быть соответствующе приспособлена к уровню риска, обеспечения и надёжности существующих контрольных процедур.
Большинство программных продуктов кредитной организации содержит контрольные инструменты, а также создают отчёты, служащие обеспечению и охране информации. Внутренние инструменты контроля дожны обеспечивать возможность идентификации слабых мест обеспечения систем, используемых в кредитной организации, и случаев отступления от требований входящего контроля, особенно операций с высоким уровнем риска. Собранные данные и программное обеспечение дожны строго сохраняться от неавторизованных изменений. Следует обратить внимание на то, чтобы персонал, занятый в области принятия решений по безопасности всей системы, был психически и морально устойчив, соответственным образом обучен, и служебные обязанности дожны быть распределены так, чтобы, осуществляемая, работа не была монополизирована с точки зрения текущего контроля за их законностью.
Правление кредитной организации может рекомендовать внешним аудиторам в период проведения анализа финансового состояния кредитной организации (либо в виде отдельной проверки) дать оценку слабых сторон информационных систем. Планирование, подготовка и проведение контроля специальным сектором службы внутреннего контроля, также рекомендации независимых специалистов и профессиональным внешним организациям, осуществляющим анализ надлежащего выпонения стандартов в области охраны данных, является одним из факторов усиления безопасности информационных систем.
3.2.3.3.2. Требования надзорных органов.
С точки зрения надзорных органов, имеющих целью обеспечение стабильности банковской системы, защиты интересов вкладчиков и кредиторов (в частности, сохранности денежных средств, размещенных на банковских счетах, соблюдение банковской тайны и т. д.), необходимым является оценка информационных систем на предмет безопасности, которая включает в себя: конфиденциальность, достоверность и доступность. Также надзорные органы интересует: имеет ли кредитная организация и как реализует имеющиеся правила политики безопасности, процедуры идентификации пользователей, однозначного подтверждения и регистрации использования ресурсов системы; как и насколько выпоняются, установленные методы, а также процедуры обеспечения соответствующей оценки риска и управления им. Существенна также оценка эффективности деятельности сектора службы внутреннего контроля, ответственной за безопасность информационных систем. Область изучения дожна включать в себя также способность программного обеспечения электронной обработки данных для достоверной реализации уставных положений кредитной организации, а также влияния развития банка, принятое разделение компетенции, доступа пользователей и т. п. на предмет безопасности системы.
В каждом конкретном случае необходимым условием реализации надзорных функций является использование экспертных данных внешних аудиторов.
В ходе инспекционных проверок кредитной организации, осуществляемых специалистами Банка России (комплексные инспекционные проверки либо тематические) проводится оценка на предмет построения системы, программного обеспечения и контрольных функций. На все возникающие в ходе проверки вопросы, дожна предоставляться исчерпывающая информация на предмет процедур, архитектуры системы, безопасности, а также набору параметров, содержащихся в программном обеспечении кредитной организации (например, установленные лимиты риска и методы оценки для транзакций и т. п.).
В акт инспекционной проверки кредитной организации могут быть включены записи, протоколы, заключения внешних аудиторов, илюстрирующие уровень понимания кредитной организацией проблем обеспечения безопасности, конфиденциальности, целостности и доступности, используемых информационных систем.
Представленная методика внутрибанковского контроля за уровнем риска использования информационных и телекоммуникационных систем является первой в нашей стране разработкой в области Организации контроля за состоянием информационных и телекоммуникационных систем на уровне кредитной организации. Эффективность данной модели Организации контроля за состоянием информационных и телекоммуникационных систем, подтверждена использованием предложенных автором подходов в деятельности ряда кредитных организаций Санкт-Петербурга, а именно: ООО КБ Инвест-Экобанк.
Внедрение предложенной модели в практическую деятельность российских кредитных организаций обеспечит повышение эффективности их деятельности в области идентификации, оценки и контроля за операционным риском, что, окажет влияние на общий уровень эффективности деятельности и стабильности российских кредитных организаций.
Заключение
1. Риск использования информационных и телекоммуникационных систем - это сложное понятие, в котором выражен комплекс операций кредитных организаций. Быстрое развитие научно-технического прогресса в области компьютерных и телекоммуникационных систем ставит перед кредитными организациями новые задачи в области обеспечения надежности и безопасности использования информационных и телекоммуникационных систем.
Это обусловлено, в первую очередь, стремлением кредитных организаций удовлетворить потребности клиентов, возникающие с развитием их бизнеса, в особенности, переходящего национальные границы и требующего осуществления широкого спектра банковских операций с использованием информационных систем. Проведение операций с использованием компьютерных технологий позволяет кредитным организациям создавать наиболее благоприятные условия для привлечения новых клиентов и поддерживать конкурентные преимущества для уже существующей клиентской базы.
В настоящее время кредитные организации экономически развитых стран осуществляют широкий спектр банковских операций с использованием новых информационных технологий. Возникающий при этом операционный риск - это проблема, с которой стокнулась банковская система и Российской Федерации. В условиях глобализации финансовых рынков управление операционным риском становится важным элементом стабильности банковской системы Российской Федерации.
Регулирование риска использования информационных и телекоммуникационных систем - это один из важнейших факторов обеспечения стабильности банковской системы. Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.
Контролирующие органы в настоящее время не осуществляют контроль за операционным риском в рамках банковского регулирования.
В настоящее время комплексное изучение проблем идентификации, анализа и регулирования риска использования информационных и телекоммуникационных систем в кредитных организациях, его роли в обеспечении стабильности банковской системы в условиях Российской Федерации до сих пор отсутствует.
Всё вышеперечисленное свидетельствует об актуальности и необходимости теоретического осмысления экономической сущности риска использования информационных и телекоммуникационных систем в кредитных организациях и факторов его определяющих; обобщения имеющегося практического опыта и разработки методологических рекомендаций по ведению и контролю за данным видом риска и определяет актуальность избранной темы диссертационного исследования.
Важность понятия риска использования информационных и телекоммуникационных систем для теории и практики банковской деятельности обусловлена тем, что данный риск означает для кредитной организации подверженность операционному риску и является его концентрированным выражением. Знание данного риска даёт возможность:
Х кредитной организации - оценить уровень операционного риска, которому он подвергается в определенный момент времени, но и управлять этим видом риска банковской деятельности;
Х контролирующим органам - оценивать и контролировать уровень операционного риска, которому подвергаются кредитные организации и банковская система, а также осуществлять реализацию политики, направленной на ограничение и контроль внутрибанковских рисков в целях обеспечения устойчивости банковской системы.
В данной работе определено место операционного риска в системе банковских рисков и уточнено его определение, как особого вида банковского риска. Общепринятого понятия операционного риска, в настоящее время не существует, однако, в практической деятельности банков операционный риск, с одной стороны, включает риск возможных денежных потерь в результате технических проблем, а с другой стороны возможных убытков при осуществлении банковских операций со стороны человеческого фактора. Таким образом, особенность операционного риска состоит в том, что ему присущи свойства как внешних, так и внутренних банковских рисков.
2. Общемировые тенденции развития экономики и в том числе банковского сектора Российской Федерации требуют фундаментального и многофакторного подхода к вопросам определения, контроля и управления риском использования информационных и телекоммуникационных систем, и, в свою очередь, операционным риском, которому подвержены кредитные организации и банковская система России в целом. Перед кредитными организациями стоит задача выявления наиболее существенных факторов, оказывающих влияние на риск использования информационных и телекоммуникационных систем, а также выработки действенных способов регулирования ее величины. Проведенный в данной работе анализ показал, что основными факторами, влияющим на риск использования информационных и телекоммуникационных систем кредитных организаций являются: мошенничество, т.е. противоправное использование информации, с которой оперирует система, в целях, противоречащих интересам кредитной организации; совершение ошибки; риск сбоев в работе программного и аппаратного обеспечения информационных и телекоммуникационных систем; неэффективное планирование (эффективность и качество банковских услуг в настоящее время во многом зависят от информационных и телекоммуникационных систем и потому любой просчет в планировании или развитии новых систем может иметь серьезные последствия для кредитной организации); неадекватное испонение обязанностей.
3. Основная цель регулирования риска использования информационных и телекоммуникационных систем заключается в том, чтобы минимизировать отрицательное влияние операционного риска которому подвергается кредитная организация, результаты её деятельности. Следует выделить две составляющие: 1) создание условий для кредитных организаций, способствующих пониманию важности и необходимости управления банковским операционным риском 2) регулирование риска использования информационных и телекоммуникационных систем в целях недопущения нарушений установленных контролирующими органами требований к операционному риску. Особенность управления операционным риском связана с тем, что он может принести банку не только убытки, но и доход.
Используя инструменты регулирования риска использования информационных и телекоммуникационных систем, кредитная организация может организовать процесс управления операционным риском. Автором диссертационного исследования выделены пять разделов управления операционным риском: управленческий надзор; оценка риска, мониторинг; правила и процедуры; внутренний контроль; органы надзора.
Управленческий надзор является основным условием эффективности управления риском в кредитной организации и участие высшего руководства банка. Качественный надзор за операционным риском дожен осуществляться Советом Директоров или управленческим комитетом. Важна также и роль Службы внутреннего контроля.
Основная ответственность за управление операционным риском дожна быть возложена на операционные подразделения. В сферу обязанностей руководителей соответствующих подразделений дожно входить обеспечение необходимых систем контроля операционного риска. Усиление контроля возможно путём распределение риска и ответственности, а также и операционных убытков по соответствующим линейным или функциональным подразделениям.
Оценка риска. Многие кредитные организации в настоящее время только начинают проводить работу по оценке операционного риска. Немногие имеют формализованные системы оценки или активно приступили к их разработке: методики имеют экспериментальный характер, в основном, разработанные на основе анализа предшествующих ошибок. Для кредитных организаций необходимо измерение операционного риска и оценка вероятности операционного убытка и его потенциального размера для использования данных для идентификации подразделений и областей деятельности, наиболее подверженных его влиянию. Подход к учету факторов риска, служащих индикаторами вероятности возникновения операционного убытка, дожен иметь количественное выражение, а также дожны использоваться качественные и субъективные оценки, выраженные в балах по определенной шкале.
Мониторинг риска. В соответствии с нормативными документами Банка России - все кредитные организации обязаны иметь Службу внутреннего контроля, которая дожна, - в силу своих служебных обязанностей, -осуществлять мониторинг операционного риска. Наиболее адекватным подходом к мониторингу операционных убытков является анализ каждого случая, описание его характера и причин убытков, с направлением результатов анализа высшему руководству кредитной организации.
Контроль риска использования информационных и телекоммуникационных систем. Для контроля за данным риском могут использоваться различные методы. Основным и наиболее эффективным средством контроля за данным риском является деятельность служб внутреннего контроля и внутреннего аудита.
Правила и процедуры. В условиях расширения риска использования информационных и телекоммуникационных систем, необходимо постоянное обновление и разработка адекватных правил и процедур контроля. Данные правила и процедуры дожны быть основаны на принципах, общих для всех видов риска.
Внутренний контроль. Большинство случаев риска использования информационных и телекоммуникационных систем связано с недостатками внутреннего контроля или несогласованностью с действующими процедурами внутреннего контроля.
Рассматривая понятие и место информационного риска в системе рисков банковской деятельности, следует отметить, что, достаточно мало уделяется внимания к проблеме возникновения и реализации данного риска, на современном этапе в трудах отечественных и зарубежных экономистов не существует единого подхода (позиции) в отношении этого вопроса, в нормативных документах Банка России существует определенный пробел в области регулирования данного риска, возникающего в деятельности кредитной организации.
Инструменты управления риском использования информационных и телекоммуникационных систем являются важным фактором межбанковской финансовой интеграции на национальном и международном уровне, так как отвечают потребностям управления операционным риском кредитных организаций большинства стран мира.
4. В рыночной экономике кредитным организациям отводится одновременно роль ведущих хозяйственных агентов и важнейших каналов воздействия на макроэкономические процессы. Поэтому во всех экономически развитых странах регулирование банковской системы имеет приоритетное значение. Проведенный анализ роли контроля за риском использования информационных и телекоммуникационных систем в системе банковского регулирования, показал, что в экономически развитых странах мира, риск использования информационных и телекоммуникационных систем является предметом регулирования. Главной задачей, с точки зрения банковского регулирования, является установление и ограничение максимального уровня операционного риска, которому может быть подвержена банковская система.
Во многих экономически развитых странах мира операционный риск является объектом регулирования, которое осуществляется как в интересах поддержания стабильности банковской системы, так и в целях недопущения убытков и банкротства кредитных организаций, что может подорвать доверие к кредитной системе страны в целом. Таким образом, регулирование риска использования информационных и телекоммуникационных систем кредитных организаций является существенным фактором стабильности банковской системы и показателем ее эффективности.
5. С момента становления банковской системы рыночного типа в Российской Федерации и развития банковской конкуренции, операционный риск стал неотъемлемой частью банковской деятельности. До настоящего времени вопросам операционных рисков (в том числе, риску использования информационных и телекоммуникационных систем) не уделялось дожного внимания.
В связи со слабой разработанностью теории управления рисками, и, как следствие, практически не существующей целостной системы анализа банковских рисков, в данной диссертационной работе обобщён существующий международный опыт. Проведенный в работе анализ методологических подходов к идентификации, оценке и управлению риском использования информационных и телекоммуникационных систем показал, что на настоящий момент существует методологическая не разработанность, оторванность от реалий банковской практики. Следует отметить, что наиболее успешной попыткой в решении проблемы создания целостной системы анализа банковских рисков принадлежит Базельскому комитету, который выпустил соответствующие рекомендации по оценке банковских рисков.
Операционные риски для российских кредитных организаций обусловлены не только изменениями, происходящими при осуществлении банковских операций, но также и информационных технологий, применяемых банками, что отражается на объёмах риска.
Следует отметить, что информационные системы кредитных организаций подвержены различным воздействиям, приводящим к снижению информационной безопасности кредитных организаций, и, в итоге, к тем или иным убыткам. Разработанная автором методика идентификации, оценки и управления отражает: а) постоянно возрастающий уровень общего банковского менеджмента, в том числе управления филиалами и операциями, а также усложнение операций кредитных организаций; б) повышение внимания к проблеме банковских операционных рисков со стороны кредитных организаций, а также, в перспективе, контролирующих органов (прежде всего Банка России).
Разработанные методические рекомендации обеспечивают преемственность теоретических положений в практической деятельности кредитных организаций и позволяет осуществлять управление риском использования информационных и телекоммуникационных систем с учетом накопленного в данной области опыта банками ведущих экономически развитых стран мира.
6. Проведенный автором диссертационного исследования анализ свидетельствует о необходимости внедрения в повседневную практику деятельности кредитных организаций методических указаний по идентификации, оценке и управлению за риском использования информационных и телекоммуникационных систем кредитных организаций в целях повышения эффективности: управления данным риском на уровне кредитных организаций, контроля со стороны Банка России за состоянием операционного риска, а также надзора за банковской деятельностью, использования информации о данном риске для мониторинга проводимых кредитными организациями операций в целом.
В данной диссертационной работе предложены, сформулированы и обоснованы методологические подходы, реализация которых будет способствовать повышению эффективности регулирующего воздействия Центрального Банка Российской Федерации на операционный риск, которому подвержена банковская система страны.
7. Внутрибанковская система идентификации, оценки и управления риском использования информационных и телекоммуникационных систем является одним из существенных факторов, оказывающим влияние как на состояние данного риска, так и на процесс управления операционным риском в кредитных организациях.
В диссертации предложена методика Организации контроля за риском использования информационных и телекоммуникационных систем в кредитных организациях, состоящая из системы идентификации, оценки и мониторинга за риском использования информационных и телекоммуникационных систем, а также мероприятий внутрибанковского контроля за данным риском. Внедрение предложенной методики в практическую деятельность российских кредитных организаций будет способствовать повышению эффективности их деятельности в области идентификации, оценке и управления операционным риском, что, может оказать существенное влияние на общий уровень эффективности деятельности и стабильности российских кредитных организаций.
Эффективность и работоспособность методики Организации контроля за риском использования информационных и телекоммуникационных систем в кредитных организациях подтверждена использованием предложенных автором подходов в деятельности ООО КБ Инвест-Экобанк.
В заключении, хочется предположить, что реализация выводов и рекомендаций настоящего диссертационного исследования на практике окажет помощь специалистам, занимающимся вопросами идентификации, оценки и контроля за операционными рисками, а также представит проблему регулирования риска использования информационных и телекоммуникационных систем с позиции комплексного экономического подхода, который предполагает глубокое знание теории и практики банковского дела и определяет их дальнейшее развитие.
Диссертация: библиография по экономике, кандидат экономических наук , Пашковский, Дмитрий Александрович, Санкт-Петербург
1. Абрамов А. Как поднять деньги//Эксперт-2000. №20.
2. Актуальные проблемы финансово и банковского дела: Сборник научных трудов/Под ред. А. И. Михайлушкина, Н. А. Савинской. -СПб.: Изд-во СП6ГИЭАД999.
3. Альгин А.П. Риск и его роль в общественной жизни. -М.:Мысль,1989
4. Александровский Е. Распределение кредитных рисков при работе с займами всемирного банка// Финансовый бизнес. 1998. -№ 1. - С.27-30.
5. Аленичев В.В., Аленичева Т.Д. Страхование валютных рисков, банковских и экспортных коммерческих кредитов. М.: Ист-сервис, 1994. - 115 с.
6. Алякин A.A. Организация учетной работы банка. М.: ИНФРА-М, 1994. -80 с.
7. Анализ деятельности коммерческого банка. М.: Вега, 1994. - 400 с.
8. Ананьев С.А. Межбанковский кризис: причины и последствия// Банковское дело. 1996. -№8. - С.29-32
9. Аникин А. И др. Динамика и регулирование курса российского рубля в свете мирового опыты// Российский экономический журнал. 1996. - № 2. -С.53-62
10. Антипова О.Н. Зарубежная практика контроля за созданием коммерческих банков// Банковское дело. 1997. - № 5. - С.28-30
11. Антипова О.Н. Регулирование и пруденциальный надзор за деятельностью банков за рубежом// Банковское дело. 1997. - № 6. - С. 16-18
12. Антипова О.Н. Регулирование рыночных рисков// Банковское дело. 1998. -№ 3. - С.30-33
13. Антипова О.Н. Управление банковской ликвидностью// Банковское дело. -1997. -№ 11. -С.6-9
14. Аристов Д.В., Горюхин Б.Н. и др. Менеджмент-анализ результатов работы банка// Банковское дело. 1997. - № 4. - С.25-27.
15. Базельские основополагающие принципы эффективного банковского надзора// Банкир. 1997. - № 5-6. - С.55-61, № 7. - С.39-62
16. Базельский комитет по банковскому надзору// Финансист. 1995. - № 15. -С.22-23
17. Балабанов И.Т. Валютный рынок и валютные операции в России. М.: Финансы и статистика, 1994. - 240 с.
18. Балабанов И.Т. Основы финансового менеджмента. М.: Финансы и статистика, 1995. - 382 с.
19. Банк: партнерство в бизнесе. М.: Приор, 1994. - 127 с.
20. Банки и банковские операции/ под ред. Жукова Е.Ф. М.: Банки и биржи, 1997., 471 с.
21. Банковская система России. Настольная книга банкира. Книга I-III. М. Дека, 1995. - 688 е., 768 е., 576 с.
22. Банковская система США//Бизнес и банки. 1997. - № 20. - С. 10
23. Банковский портфель 2 (Книга банковского менеджера. Книга банковского финансиста. Книга банковского юриста.)/отв. ред. Коробов Ю.И. и др. - М.: Соминтэк, 1994., 752 с.
24. Банковское дело/ под ред. Колесникова В.И., Кроливецкой Л.П. М.: Финансы и статистика, 1997. - 476 с.
25. Банковское дело/ под ред. Лаврушина О.И. М.: Финансы и статистика, 1998.- 574 с.
26. Баринов Э.А. Валютное регулирование и валютный контроль в странах Западной Европы// Международный бизнес России. 1996. - № 5,- С.26-31
27. Барышников A.C. Валютные операции и валютные риски. СПб: Изд-во СПбУЭФ, 1995. - 126 с.
28. Безрисковые стратегии на рынке FOREX для крупных инвесторов: многовалютный портфель// Финансовый рынок. 1997. -№17.-С.16-18
29. Бек У. От индустриального общества к обществу pHCKa//THESIS.-1994 -№5.-С.168
30. Белоглазова Г. Инструмент денежно-кредитной политики// Экономика и жизнь.- 1995.-№11,-С.15.
31. Белоглазова Г.Н. и др. Деньги и кредит в рыночной экономике: учебное пособие. СПб., 1994. - 170 с.
32. Белоглазова Г.Н. Коммерческие банки в условиях формирования рынка. -Л.: Изд-во ФЭИ, 1991. 142 с.
33. Белоглазова Г. Н., Савинская H.A. Организация деятельности Центрального банка. СПб. Изд-во СПГУЭФ, 2000.
34. Беляев М.К., Бузуев A.B. Банковский надзор: пути развития// Банковское дело. 1998. - № 1., № 2. - С.2-5, С. 14-18
35. Березина М.П., Крупное Ю.С. Межбанковские расчеты: практическое пособие. М.: Финстатинформ, 1994. - 224 с.
36. Букато В.И., Львов Ю.И. Банки и банковские операции в России. М.: Финансы и статистика, 1996. - 336 с.
37. Букин С. Корреспондентские отношения банков Москвы: региональный аспект// Финансист. 1996. - № 8. - С. 16-19
38. Валютный портфель: Книга финансиста; Книга коммерсанта; Книга банкира/ отв. ред. Платонова Е.Д., Рубин Ю.Д. М.: СОМИНТЭК, 1995., 680 с.
39. Ван Хорн Дж. К. Основы управления финансами. М.: Финансы и статистика, 1996. - 799 с.
40. Васильева Е.В. Состояние деловой активности российских банков// Банковское дело. 1997. - № 5. - С.2-5.
41. Васильева И.П. Валютное регулирование в Германии// Международный бизнес России. 1995. - № 6,- С.36-37
42. Воков С. Международные организации банковского надзора// Финансовый бизнес. 1995. - № 8. - С.29-32
43. Гавальда К., Стуфле Ж. Банковское право: учреждения счета - операции -услуги. - М.Финстатинформ, 1996. - 580 с.
44. Гакин А. Валютный риск и гарантии сдеки (форвардный контракт)// Экономика и жизнь. 1994. - № 24. - С. 10.
45. Гальперин В.М. и др. Макроэкономика. СПб.: Экономическая школа. -1994.-400 с.
46. Гельвановский М.Н., Кузнецова A.C. Цены мировой торговли и валютные курсы: новые аспекты взаимосвязи// Известия АН СССР. Серия экономическая. 1988. - № 2. - С.100-117.
47. Геращенко В.В. Денежно-кредитная политика и стабилизация экономики// Кредо банкира. 1994. - С.4-7.
48. Геращенко В.В. О мерах Центрального банка по финансовой стабилизации// Бизнес и банки. 1996. - № 46. - С. 1-2.
49. Голосов В.М. Правовое регулирование обязательной продажи части валютной выручки в РФ// Директор. 1997. - № 4. - С.54-56
50. Готье Ж. Банковский надзор и приоритеты банковского регулирования в России. Доклад на семинаре в ЦБ РФ. М : ЦБ РФ, 1996. - 11 с.
51. Дмитриев В Н. Валютное законодательство России: основные понятия и особенности применения штрафных санкций// Главбух. 1997. - № 4. -С.65-73
52. Долан Э. Дж. и др. Деньги, банковское дело и денежно-кредитная политика. М.-Л.: Профико, 1991. - 448 с.
53. Евдокимова H.A. Взаимоотношения Центрального банка с коммерческими банками// Известия СПбУЭФ. 1998. - № 2. - С.161-167
54. Егоров С.Е. Становление новой банковской системы в России, банковское законодательство и проблемы инвестиций// Информационный бюлетень АРБ. 1995. -№34
55. Ефимова Л.Г. Банковское право: Учебное и практическое пособие. М.: БЕК, 1994. - 349 с.
56. Закон РФ от 5 марта 1992 г. № 2446-1 О безопасности.
57. Замураев А. Время определиться в терминах: критический анализ классификации коммерческих и банковских рисков// РИСК. 1998. - № 1. -С.33-39.
58. Зенкин И.В., Спирина М.Н. Валютный контроль в Российской Федерации: нормативные документы; комментарии; практика применения. М.: Международный центр финансово-экономического развития, 1997. - 719 с.
59. Инструкция ЦБ РФ от 22.05.1996. № 41 Об установлении лимитов открытой валютной позиции и контроле за их соблюдением упономоченными банками РФ
60. Инструкция ЦБ РФ от 31.03.1997. № 59 О применении к кредитным организациям мер воздействия за нарушения пруденциальных норм деятельности
61. Кейнс Дж. М. Общая теория занятости, процента и денег. М.: Прогресс, 1978.- 510 с.
62. Координация международного банковского регулирования и надзора// Бизнес и банки. 1997. - № 8. - С.7,8
63. Кох Тимоти У. Управление банком. Т. 5. Уфа: Спектр, 1993. - 120 с.
64. Кризис ждали. Но от этого он не стал менее неожиданным// Коммерсант. -1995. -№34. -С.58-63.
65. Ликвидность банков и современные методы управления банковскими рисками: Сборник научных трудов по материалам проблемно-консультативного семинара/ под ред. Белоглазовой Г.Н., Мелещенко В.И. и др. СПб.: Изд-во СПбУЭФ, 1997., 163 с.
66. Линдерт П.Х. Экономика мирохозяйственных связей. М.: Прогресс, 1992. -520 с.
67. Леонтьев В. Банковский надзор и регулирование сегодня//Банковский ряд,-2000.-№3.-С. 23-29
68. Луман Н. Понятие pHCKa//THESIS.1994. №5. С. 135-160.
69. Лямин Л.В. Способы оценки управления банковскими рисками//Банковский ряд.-2001.-№2-3.-С.25-32
70. Макконел К.Р., Брю С.Л. Экономикс. Т. 1-Й. М.Республика, 1992. - 799 с.
71. Масленченков Ю. Управление рисками банка на основе анализа финансовых потоков// Бюлетень Финансовой Информации. 1996. - № 2. -С.50-61
72. Масленченков Ю.С. Анализ деятельности банков с точки зрения управления стратегическими рисками// Банковский журнал. 1995. - № 1. -С.2-6
73. Матук Ж. Финансовые системы Франции и других стран. В 2-х т. М.: Финстатинформ, 1994. - 685 с.
74. Международные валютные и кредитные отношения капиталистических стран/ под ред. Красавиной JI.H. М.: Финансы и статистика, 1986. - 343 с.
75. Мишальченко Ю.В., Кроли J1.0. Риски в международной банковской деятельности// Бухгатерия и банки. 1996. - № 3. - С. 17-23
76. Москвин В. Главная цель развития коммерческого банка// Банковское дело. 1997. -№5. -С.42-45
77. Найт Ф. Понятие риска и неопределенности//ТНЕ818. 1994. -№5. С. 12-28
78. На пути к единой мировой системе банковского надзора. Базовые принципы эффективного надзора за банковской деятельностью// Бизнес и банки. -1997. -№21. -С.1,2,4-8
79. Налогообложение филиалов международных банков и надзор за их деятельностью в Великобритании// Бизнес и банки. 1997. - № 29. - С.6
80. Новоселов В.Г. Валютный отдел коммерческого банка. Новосибирск: Вантаж, 1994. - 140 с.
81. Новые положения о консолидированной отчетности в ЕС// Финансист. -1996.-№3.-С.27-29
82. Овчаров А. Постижение неопределенности: Риск-менеджмент в сфере банковской деятельности//РИСК. 1997. - № 6. - С.69-73
83. Овчаров А. Риск-менеджмент// РИСК. 1997. - № 3-4. - С.104-107.
84. Овчаров А.О. Организация управления рисками в коммерческом банке// Банковское дело. 1998. - № 1. - С. 15-16
85. Основы международных валютно-финансовых и кредитных отношений: Учебник/Научн. ред. Круглов В.В. М.: ИНФРА-М, 1998. - 432 с.
86. Палий В.Ф., Палий В.В. Финансовый учет. В 2-х частях. М.: ФБК-Пресс: НФПК, 1998. - 295 е., 347 с.
87. Панова Г.С. Анализ финансового состояния коммерческого банка. М.: Финансы и статистика, 1996., 272 с.
88. Парамонова Т.В. Финансовая система России: проблемы и перспективы// еженедельник Экономика и жизнь. 1995. - № 14
89. Пивоваров В. В. Корреспондентские отношения как форма выхода коммерческого банка на внешний рынок// Валютно-финансовые операции: международный опыт и российская практика. СПб.: Изд-во СПбГУЭФ, 1997., 103 с.
90. Пивоваров В. В. Регулирование позиций валютного риска коммерческих банков в современных условиях // Антикризисная стратегия банков: сборник научных трудов по материалам проблемно-консультационного семинара 23 декабря 1998 г. СПб.: Изд-во СПбГУЭФ, 1999
91. Пивоваров В. В. Методика организации внутрибанковского контроля за состоянием открытой валютной позиции и бухгатерского учета валютных операций М.: ж. Бухгатерский учет в кредитных организациях, 1999, № 3
92. Платонова И. Диверсификация портфеля как способ снижения рисков// Финансист. 1995. - № 48. - С. 10-14
93. Плотников А.В. Вопросы регулирования операционных рисков в компьютерных банковских системах//Бухгатерия и банки.-2001 ,-№3.-С.51-56
94. Положение ЦБ РФ от 21.03.1997. № 55 О порядке ведения бухгатерского учета сделок покупки-продажи иностранной валюты, драгоценных металов и ценных бумаг в кредитных организациях
95. Поляков В.П., Московкина JI.A. Структура и функции центральных банков. Зарубежный опыт: учебное пособие. М.: ИНФРА-М, 1996. - 192 с.
96. Поморина М.А. Управление рисками как составная часть процесса управления активами и пассивами банка// Банковское дело. 1998. - № 3. -С.12-17
97. Попов К. Роль транснациональных банков в экономике и финансах в 90-е годы// Бюлетень Финансовой Информации. 1997. - № 9. - С.54-64
98. Попов О. В поисках путей сокращения расчетов валютных операций// Бюлетень финансовой информации. 1997. - № 7. - С.45-48
99. Правовая база банковской деятельности: на пути к международным стандартам// Бизнес и банки. 1996. - № 12. - С. 1,2
100. ЮО.Правовое регулирование банковской деятельности/под ред. Суханова Е.А. -М.: ЮрИнфор, 1997.-471 с.
101. Рекомендации по организации внутреннего контроля за рисками банковской деятельности// Финансовый бизнес. 1998. - № 2. - С.49-54
102. Ривуар Ж. Техника банковского дела. М.: Прогресс, 1993. - 158 с.
103. Риски банковские// Российская Банковская Энциклопедия. М.: Энциклопедическая Творческая Ассоциация, 1995. - С.360-364.
104. Ю4.Ромачев А. Реформа надзора в Великобритании// Банковское дело в Москве. 1997. - № 7. - С.24-25
105. Роуз П. Банковский менеджмент. М.:Дело ТД, 1995. - 743 с.
106. Юб.Рэдхэд К., Хьюс С. Управление финансовыми рисками. М.: ИНФРА-М, 1996.-288 с.
107. Положение Банка России №89-П 14.10.99г. О порядке расчета величины рыночных рисков.
108. Пономарева H.JI. Формирование системы лимитов банка для работы на денежном рынке. / Банковское дело. 1998,- №9.
109. Рабочий форум банкиров//Эксперт, № 27. 17.08.2000.
110. ПО.Ренкер К. Логика и методология маркетинга взаимодействия СПб.: Изд-во СПбГУЭФ. 1999.111 .Риски в современном бизнесе. М. Алане, 1994 г.
111. Родионова В.М., Федотова М.А. Финансовая устойчивость предприятия в условиях инфляции. -М.: Перспектива, 1994.
112. Русский Интернет//Деловой Петербург. 2000. - 14 февраля.
113. Савинская H.A. Глобализация по-российски//Эксперт,- 1998,- № 20.
114. Савинская H.A. Маркетинговая концепция совершенствования кредитно-финансовой системы. XXI век: проблемы подготовки маркетологов в России и за рубежом: Сб. мат-лов Межд. Конференции (28-30.09.99) -СПб.: Изд-во СПбГУЭФ, 1999г.
115. Пб.Савинская Н. А. Объединение не просто сложение капиталов. Экономика и жизнь. Санкт-Петербургский региональный выпуск. 16 мая, 1998.
116. Савинская Н. А. Организационная основа финансово-кредитного комплекса региона (Санкт-Петербург). СПб.: Санкт-Петербургская академия аэрокосмического приборостроения, 1996.
117. Савинская H.A. Состояние банковской системы и стратегия ее реструктуризации. Антикризисная стратегия банков: Сб. научных трудов -СПб.: Изд-во СПбГУЭФ. 1999.
118. Савинская H.A. Состояние и проблемы развития банковской системы России и Санкт-Петербурга//Ликвидность банков и современные методы управления банковскими рисками: Сб. научных трудов. СПб.: Изд-во СПбГУЭФ, 1997.
119. Савинская H.A. Традиционным Международный банковский конгресс посвящен глобализации финансовых рынков. Ч СПб.: Защита и безопасность.-1998.-№2.
120. Савинская И.А. Устойчивость и экономическая безопасность банковской системы России. СПб.: Изд-во СПбГУЭФ. 1999.
121. Савинская П.А., Багиева М. П. Риски и устойчивость предприятии. СПб.: Изд-во СПбГУЭФ. 1999.
122. Савинская H.A., Багиева М. Н. К вопросу оценки риска и устойчивости коммерческих банков. Антикризисная стратегия банков: Сб. научных трудов. СПб.: Изд-во СПбГУЭФ, 1999.
123. Савинская H.A., Домбровский А.П. К вопросу о реструктуризации банковской системы. Экономическая кибернетика, организационные формы и методы управления в хозяйственных системах: Сб. научных трудов -СПб.: Изд-во СП6ГУЭФ, 1999.
124. Савинская H.A., Гришин A.M., Моргачева И.А., Никитин Г.Г., Степанов К).В. Мониторинг предприятий в Центральном банке//Деньги и кредит,-1997,- №8.
125. Савинская Н. А. Основы системной организации банковской деятельности. Риски. Надзор. Координация/ Под ред. Акад. МАН ВШ, д-ра экон. Наук, проф.Л.С. Тарасевича.-СПб.: СПбГУЭФ, 2000.-326 е.
126. Севрук В.Т. Банковские риски. М.: Дело ТД, 1994.
127. Симановский А.Ю. Международные тенденции развития и некоторые вопросы совершенствования российской практики//Деньги и кредит,- 2002,-№2.
128. Становление российской банковской системы. /Аналитическое исследование. Выпонено по заказу Бюро экономического анализа. -Ангорский колектив, руководитель центра развития С. Алексашенко. -Бюлетень финансовой информации 2000,- №6.
129. Севрук В Т. Банковские риски. М.: Дело ТД, 1994. - 72 с.
130. Селезнев А.З. Банковская система России ядро инфраструктуры финансового рынка// Известия СПбУЭФ. - 1998. - № 1. - С. 17-35
131. Сердюкова И.Д. Методы анализа финансовых рисков// Бухгатерский учет. 1996. -№6. -С.54-57.
132. Симановский А.Ю. Регулирование валютного риска: открытая валютная позиция// Деньги и кредит. 1997. - № 2. - С.43-51
133. Симановский А.Ю., Сухов М.И. О проблемах и перспективах банковского надзора// Деньги и кредит. 1996. - № 8 - С. 12-20
134. Симановский А.Ю., Сухов М.И. Проблемы и перспективы банковского надзора// Бизнес и банки. 1996. - № 45-46 - С. 1-2
135. Симонов П.В. Лекции о работе головного мозга. М.:Институт психологии РАНД 998
136. Синки Дж., мл. Управление финансами в коммерческих банках. М.: Catallaxy, 1994. - 820 с.
137. Сухов М.И. Государственное регулирование валютного рынка России: актуальные проблемы// Деньги и кредит. 1995. - № 12. - С. 14-2513 9.У правление рисками при торговле банков за собственный счет// Финансист. 1995. -№47. -С.28-32
138. Усоскин В.М. Современный коммерческий банк: управление и операции. -М.: Все для вас, 1993. 320 с.
139. Усоскин В.М. Базельские стандарты адекватности банковского капитала: эволюция подходов // Деньги и кредит. 2000. - №3. - С. 12.142. Уэбстер
140. Уткин Э.А. Стратегический менеджмент: способы выживания российских банков. М.: Фонд Экономического Просвещения, 1996. - 180 с.
141. Фадейкина Н.В. Регулятивный банковский процесс. СПб: Изд-во СПбУЭФ, 1996.-207 с.
142. Фадейкина Н.В., Богова Е.К. Банковская система России. Новосибирск: Изд-во СМВШБД, 1995. - 226 с.
143. Федеральный закон РФ от 2.12.1990. № 394-1 О Центральном Банке РФ (Банке России)
144. Федеральный Закон РФ от 3.02.1996. № 17-ФЗ О банках и банковской деятельности.
145. Федеральный закон от 4.07.1996 г. № 85-ФЗ Об участии в международном информационном обмене.
146. Федеральный закон от 10 января 2002 г. № 1-ФЗ Об электронной цифровой подписи.
147. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ Об информации, информатизации и защите информации.
148. Фон Нейман Дж., Моргенштерн О. Теория игр и экономическое поведение. -,:Наука,1970
149. Хакен Г. Синергетика.-М.: Мир, 1984.
150. Хэррис, Дж. Мэнвил Международные финансы. М.: Информационно-издательский дом Филинъ, 1996. - 296 с.
151. Шенг Э. Практика банковского надзора: регулирование деятельности банка// Финансовый бизнес. 1994. - № 10. - С. 13-16
152. Ширинская Е.Б. Операции коммерческих банков и зарубежный опыт. М.: Финансы и статистика, 1993. - 144 с.
153. Шустер Г. Детерминированный хаос. Введение. М.: Мир, 1988
154. Экономическая теория/ под ред. Добрынина А.И., Тарасевича JI.C. СПб.: Изд-во СПбГУЭФ, Изд. Питер Паблишинг, 1997., 480 с.
155. Ярочкин В. Безопасность информационных систем.-М.:Ось-89,1996.-320с.
156. Bank restructuring in practice // BIS Policy Papers. August 1999. - No. 6. -221 p.
157. Banking crises in emerging economies: origins and policy options // BIS Economic Papers. October 1996. - No. 46. - 67 p.
158. Framework for internal control systems in banking organisations. Basle Committee on Banking Supervision. Basle, 1998. - 31 p.
159. Indonesian banking: always right? // The Economist. 19 June 1999. - P. 13-18.
160. Supervisory lessons to be drawn from the Asian crisis // Basle Committee on Banking Supervision Working Papers. June 1999. - No. 2. - 60 p.
161. Hall Maximilian J.B. Handbook of banking regulation and supervision. Hemel Hempstead: Woodhead-Faulkner Ltd, 1996. - 288 p.
162. Santomero Anthony M., Vinso Joseph D. Estimating the probability of failure for commercial banks and banking system// Journal of Banking and Finance. 1977. -P. 185-205
Похожие диссертации
- Организационно-экономические аспекты управления развитием филиальной сети организации
- Совершенствование системы управления операционным риском на предприятии
- Совершенствование системы обеспечения информационной безопасности как составляющей экономической безопасности кредитных организаций
- Формирование эффективного механизма взаимодействия органов финансового надзора с кредитными организациями в сфере противодействия легализации доходов, полученных преступным путем
- Методическое обеспечение анализа отчетности кредитных организаций