Margaret24.ru

Деньги в период кризиса
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Источники операционного риска

Источники операционного риска

Основные факторы операционного риска связаны:

  • со случайными или преднамеренными действиями людей или организаций, направленными против интересов организации, в том числе несоблюдением требований законодательства и предусмотренных внутренних правил и процедур;
  • с несовершенством организационной структуры (распределения обязанностей подразделений и работников), порядков и процедур, а также их документирования, неэффективностью внутреннего контроля и т.д.
  • со сбоями в функционировании систем и оборудования
  • с внешними обстоятельствами вне контроля организации

Классификация операционных рисков

Риск персонала — риск потерь, связанный с ошибками и противоправными действиями работников Банка, их недостаточной квалификацией, излишней загруженностью, нерациональной организацией труда в Банке и т.д.

Риск процесса — риск потерь, связанный с ошибками в процессах проведения операций и расчетов по ним, их учета, отчетности, ценообразования и т.д.

Риск систем — риск потерь, обусловленных несовершенством используемых в Банке технологий — недостаточной емкостью систем, их неадекватностью по отношению к проводимым операциям, грубости методов обработки данных, или низкого качества, или неадекватности используемых данных и т. д.

Риски внешней среды — риски потерь, связанные с изменениями в среде, в которой функционирует Банк — изменения в законодательстве, политике, экономике и т.д., а также риски внешнего физического вмешательства в деятельность организации.

Категории типов событий операционного риска согласно Базелю II [2] :

  • Внутреннее мошенничество (Internal Fraud)
  • Внешнее мошенничество (External Fraud)
  • Трудовое законодательство и безопасность труда (Employment Practices and Workplace Safety)
  • Клиенты, продукты и правила бизнеса (Clients, Products, & Business Practice)
  • Ущерб материальным активам (Damage to Physical Assets)
  • Прерывание бизнеса и сбои систем (Business Disruption & Systems Failures)
  • Управление исполнением, доставкой и процессами (Execution, Delivery, & Process Management)

В зависимости от уровня в иерархии организации выделяют риски корпоративного уровня, риски бизнес-единицы, риски подразделения

Методы оценки операционного риска

В Базеле II предусмотрены следующие подходы к оценке операционного риска банков:

  • Подход базового индикатора (BIA, Basic Indicator Approach)
  • Стандартизированный подход (TSA, The Standardized Approach) и альтернативный стандартизированный подход (ASA)
  • Продвинутые подходы (AMA, Advanced Measurement Approach), включающие в себя такие подходы как:
    • Подход внутреннего измерения (IMA, Internal Measurement Approach)
    • Подход на основе распределения потерь (LDA, Loss Distribution Approach)
    • Подход на основе моделирования сценариев(SBA, Scenario-based approach)
    • Подход оценочных карт или балльно-весовой подход (SCA, Scorecard Approach)

Управление операционными рисками

Система управления операционными рисками – комплекс организационных, методических, информационных средств, направленных на предупреждение возможных операционных рисков, минимизацию отрицательных последствий и недопущения повторных инцидентов операционного риска.

Управление операционными рисками призвано обеспечить снижение убытков организаций от различного рода инцидентов операционного риска, обеспечить менеджмент компании системой формирования «планов мероприятий по предупреждению операционных рисков» и «планов действий при наступлении инцидентов операционного риска».

Принципы управления операционными рисками

Базельский комитет установил следующие основные принципы управления операционным риском в кредитной организации [3] [4] :

Принцип 1. Ключевая роль совета директоров в формировании и обеспечении развитой культуры управления операционным риском на всех уровнях организации

Принцип 2. Банки должны создавать, внедрять и использовать cистему управления, полностью интегрированную в общий процесс управления рисками

Принцип 3. Совет директоров должен разработать и анализировать систему управления рисками и осуществлять контроль над исполнительными органами;

Принцип 4. Совет директоров должен установить риск-аппетит и допустимый уровень риска

Принцип 5. Исполнительный орган должен разработать и представить совету директоров четкую, эффективную и надежную управленческую структуру с точно определенными, прозрачными и непротиворечивыми сферами компетенции. Исполнительный орган несет ответственность за последовательное внедрение и применение принципов, процессов и систем управления операционным риском в соответствии с риск-аппетитом и допустимым уровнем риска.

Читать еще:  Психологический риск это

Принцип 6. Исполнительный орган должен обеспечить выявление и оценку операционного риска с целью четкого понимания природы и факторов риска

Принцип 7. Исполнительный орган должен обеспечить одобрение нововведений с учетом операционных рисков

Принцип 8. Исполнительный орган должен организовать регулярный мониторинг операционного риска, включая систему отчетности подразделений.

Принцип 9. Наличие надежной системы внутреннего контроля, а также надлежащей системы снижения или передачи риска.

Принцип 10. Разработка планов обеспечения непрерывности и восстановления деятельности в случае реализации операционных рисков.

Принцип 11. Информация, публикуемая банком, должна позволять заинтересованным сторонам оценивать его подход к управлению операционным риском

Методы управления операционными рисками

  • Риск-аудит операций, процедур и направлений деятельности
  • Сбор и анализ внутренних и внешних данных по операционным рискам
  • Мониторинг ключевых индикаторов риска (KRI)
  • Оценка (включая сценарный анализ) и самооценка операционного риска бизнес-подразделениями
  • Регламентация бизнес-процессов (внутренних правил и процедур)
  • Контроль соблюдения законодательства и внутренних правил и процедур
  • Контроль информационно-технологических рисков
  • Обучение и совершенствование системы мотивации персонала
  • Автоматизация бизнес-процессов, в том числе отдельных (стандартных) процедур контроля
  • Регулярная внутренняя отчетность по операционным рискам
  • Разработка планов по обеспечению непрерывности деятельности и действий на случай реализации операционных рисков
  • Страхование от операционных рисков
  • Аутсорсинг отдельных функций

Ключевые индикаторы операционного риска

Ключевой индикатор операционного риска (KRI, в русском варианте — КИР или КИОР) — показатель, используемый для отслеживания и прогнозирования фактов реализации операционного риска.

Ключевые индикаторы риска используются для регулярного (с различной периодичностью — в зависимости от ключевого индикатора риска) мониторинга подверженности риску, проявления риска и источников (причин) потерь.

Программное обеспечение по операционным рискам

Комплекс средств, необходимых для решения задач управления операционными рисками предприятий, предоставляют автоматизированные системы управления операционным риском

Специализированное программное обеспечение:

Операционные риски и угрозы системам финансовых структур

Об отдельных видах операционных рисков

Операционные риски, в свою очередь, можно разделить на несколько подвидов.
Риск утечки или разрушения необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление каких-либо файлов автоматизированной банковской системы (АБС) может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба своим клиентам.
Риск использования в деятельности финансовой структуры необъективных или сфальсифицированных информационных активов. Самый простой пример данного риска — фальсификация платежного поручения. Более сложными вариантами являются подмена одного из участников финансовой транзакции или повтор ранее переданной платежки.
Риск отсутствия у руководства финансовой организации объективной и актуальной информации. Данный вид рисков особенно ярко проявляется в атаках «отказ в обслуживании» (Denial of Service), которые приводят к отказу и простою отдельных компонентов АБС.
Риск распространения невыгодной или опасной для финансовой структуры информации. Этот риск имеет достаточно много проявлений — от слухов, компромата и клеветы до утечки из банка каких-либо документов, попадание которых в СМИ может привести к ущербу для банка. В эту же категорию можно отнести и вирусную эпидемию, вырвавшуюся за пределы корпоративной сети финансовой организации и повлекшую за собой удар по ее репутации, а возможно, и заведение уголовного дела по статье 273 УК РФ.
Разумеется данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например подмена главной страницы web-сервера банка или атака на заражение персонального компьютера оператора центра обработки вызовов (Call Center).

Читать еще:  К внешним рискам относят

Причины возникновения операционных рисков

К главным причинам возникновения операционных рисков можно отнести:
• недостаточную квалификацию персонала финансовой организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» по-прежнему является основной бедой российского бизнеса, так как большинство сотрудников отечественных компаний не обучены грамотному применению информационных технологий и их знания не распространяются дальше «владею Microsoft Word, Internet Explorer и ICQ»;
• непонимание важности информационной безопасности и недооценка существующих угроз. Отсутствие поддержки со стороны руководства приводит к ослаблению системы управления рисками, нехватке финансирования и выполнению действий и мероприятий по повышению уровня защищенности «спустя рукава»;
• отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности. Отсутствие плана действий в случае наступления того или иного риска приводит к нерациональному решению, а зачастую и вообще отсутствию решения возникшей ситуации;
• отсутствие эшелонированной системы защиты информационных активов финансовой организации от всех перечисленных выше угроз. Безопасность компании равна безопасности самого слабого звена. Злоумышленнику достаточно найти всего одну слабость в системе управления рисками, и он сможет нанести ущерб банку, страховой компании или иному финансовому институту;
• наличие уязвимостей на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».

Последствия операционных рисков

В результате перечисленных выше причин возникновения операционных рисков могут наступить следующие последствия:
• внутреннее и внешнее мошенничество;
• ошибки персонала (умышленные и в результате низкой квалификации);
• сбои автоматизированной банковской системы и других типов информационных систем;
• нарушение процессов обработки и хранения данных;
• недостаточная защищенность АБС или прорехи в рубежах ее обороны и т.д.
Все эти последствия приводят к нанесению компании прямого финансового или косвенного ущерба.

Ущерб от операционных рисков

Примеры последних месяцев (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема нанесения ущерба финансовым структурам давно вышла за пределы детективов и голливудских боевиков и стала реальностью наших дней. Несмотря на молодость многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions»1 приведены следующие примерные суммы потерь от атак «отказ в обслуживании» для различных типов финансовых структур:
• брокерская компания — $6,5 млн в час;
• процессинговый центр — $2,6 млн в час;
• банкомат — $14,5 тысяч в час;
• онлайн-аукцион — $70 тысяч в час.
Можно отойти от сухой статистики и привести несколько реальных случаев. Начиная с 1997 года и до начала 2002 года один из западных валютных трейдеров «играл» на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около $600 млн.
Но помимо прямых финансовых потерь надо помнить и о косвенном ущербе, который может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), исках со стороны пострадавших клиентов и т.п.
В другом примере логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 млрд файлов. Это произошло в марте 2002 года и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезными оказались снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.

Читать еще:  Мероприятия по снижению рисков

Источники операционных рисков

И хотя источники операционных рисков могут быть как внутренними, так и внешними, основная угроза исходит именно изнутри финансовой организации. В 2004 году Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги–Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах. Данный отчет показал ряд весьма любопытных фактов.
• Большинство инцидентов совершено людьми, не имеющими никакой или очень низкую техническую квалификацию:
— как правило, они использовали не технические уязвимости, а пробелы в политике организации в области информационной безопасности;
— в 87% случаев злоумышленники использовали разрешенные команды и программы;
— в 70% случаев внутренние нарушители использовали слабости в приложениях, а в 61% — дыры в сетевом оборудовании, системном программном обеспечении или аппаратуре;
— в 78% случаев нарушители имели учетные записи в атакуемой системе, а в 43% случаев действовали открыто — под своими именами. И только в 26% случаев была зафиксирована маскировка под других пользователей;
— только 23% нарушителей находились на технических должностях (17% имели права администратора);
— 39% нарушителей не подозревали о реализуемых в организации мерах по информационной безопасности.
• Большая часть всех инцидентов (81%) планировалась заранее. Причем в 85% этих случаев информация о планируемом преступлении была известна третьим лицам (коллегам, друзьям, членам семьи и т.д.).
• Основной мотив совершения преступления — жажда наживы (81%):
— 27% злоумышленников на момент совершения преступления имели серьезные финансовые трудности;
— в 23% случаев основным мотивом была месть, в 15% — недовольство руководством и порядками в компании;
— помимо финансовой выгоды были и другие цели: 27% злоумышленников хотели саботировать бизнес-процессы в компании, а 19% совершили кражу конфиденциальной информации.
• Возраст внутренних злоумышленников находится в разбросе от 18 до 59 лет. Причем 42% из них женщины (несмотря на это, миф о том, что все хакеры — мужчины, очень живуч), а 54% — не женаты/не замужем.
• В 61% инцидентов преступления были обнаружены людьми, не отвечающими за безопасность (коллегами, клиентами и т.п.):
— также в 61% случаев обнаружение было неавтоматизированным;
— процедуры аудита и мониторинга помогли в 22%;
— журналы регистрации помогли идентифицировать источник преступления в 74% случаев.
• Финансовый ущерб наступил практически во всех зафиксированных случаях — его размер варьировался от $168 до 691 млн.
• 83% всех инцидентов происходили изнутри атакованной организации и в 70% — в рабочее время.
• В 30% случаев доступ осуществлялся из дома нарушителя.
• Число атак никак не зависело от размера организации. Например, число преступлений в банках со 100 и с 10 000 сотрудников было одинаковым.

Снижение операционных рисков

Не касаясь подробно темы снижения операционных рисков, перечислим некоторые его механизмы:
— планирование процедур управления операционными рисками и, в частности, управления информационной безопасностью;
— регулярный аудит финансовой компании на предмет снижения операционных рисков (в том числе аудит безопасности);
— регистрация всех осуществляемых в информационных системах действий;
— аутсорсинг (Managed Service) непрофильных активов (в том числе информационных систем);
— обеспечение банковской тайны (хотя принятие новых законов в последнее время серьезно усложнило эту задачу);
— обеспечение непрерывности бизнес-процессов.

Ссылка на основную публикацию
Adblock
detector