• Как правильно управлять финансами своего бизнеса, если вы не специалист в области финансового анализа - Финансовый анализ

    Финансовый менеджмент - финансовые отношения между суъектами, управление финасами на разных уровнях, управление портфелем ценных бумаг, приемы управления движением финансовых ресурсов - вот далеко не полный перечень предмета "Финансовый менеджмент"

    Поговорим о том, что же такое коучинг? Одни считают, что это буржуйский брэнд, другие что прорыв с современном бизнессе. Коучинг - это свод правил для удачного ведения бизнесса, а также умение правильно распоряжаться этими правилами

4.3.3. «Risks in computer and telecommunication system»

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 
34 35 36 

Возросшее влияние информационного риска на функционирование

банковских организаций привело к тому, что на них обратил серьезное

внимание Базельский комитет по банковскому надзору, который в своем

документе «Risks in computer and telecommunication system.» выделил

следующие составляющие операционного риска в компьютерных и

телекоммуникационных системах:

риск безопасности (риск мошенничества) - связан с риском

противоправного использования информации, с которой оперирует

система, в целях, противоречащих интересам банка. Особенностью

операционного риска в контексте функционирования компьютерных

систем является то, что большие объемы информации могут быть

выведены из системы без оставления следов несанкционированного

проникновения, что может привести к ухудшению репутации банка и

выдвижению против банка имущественных исков;

риск совершения ошибки - риск связан с ошибками, которые

возникают при вводе данных в систему, модификации программного

обеспечения и во время технического обслуживания;

риск прерывания нормальной деятельности вследствие сбоев в

работе программного и аппаратного компонентов компьютерной

системы - риск уязвимости компьютерных систем, вследствие

непредвиденных происшествий;

риск неэффективного планирования;

риск неадекватного исполнения управляющим звеном своих

обязанностей - сводится к неготовности банка к чрезвычайной ситуации.

Кроме этого Базельским комитетом были разработаны

международные стандарты по контролю за операционными рисками, в

соответствии с которыми подсистема внутреннего контроля за

автоматизированными банковскими системами может быть условно

разделена на две составляющие:

подсистему общего контроля, связанную с процедурами,

сопутствующими работе компьютерных систем (контроль за

разработкой систем, контроль безопасности, контроль за тестированием

систем и т. д.);

подсистему частного контроля, связанную с функционированием

конкретной компьютерной системы (системы бухгалтерского учета,

системы электронных платежей и т. д.).

Общий контроль связан с условиями, в рамках которых

компьютерные системы разрабатываются, устанавливаются,

отлаживаются и функционируют. Задачей такого контроля является

разработка и обеспечение выполнения соответствующих требований при создании и применении конкретных систем, а также обеспечение

совместимости данных, программных продуктов и операционных

процедур в пределах организации.

Частный контроль связан с данными, операциями и сделками,

учитываемыми в конкретной системе и, следовательно, является

специфичным для каждой системы. Целью такого контроля является

гарантирование полного и корректного ввода, обработки и выдаче

информации.

Общий контроль в свою очередь может быть подразделен на

системный и административный.

Системный контроль включает в себя следующие процедуры:

проверка реальности внедрения новой системы или модернизации

существующей;

наличие стандартных процедур утверждения с перечислением

должностных лиц, в них участвующих;

участие конечных пользователей в процессе разработки и

внедрения системы;

наличие стандартизированных документации и спецификаций

аппаратных и программных средств, позволяющих уменьшить

зависимость функционирования системы от обслуживающего ее

персонала;

предварительное тестирование систем с привлечением конечных

пользователей;

наличие задокументированных процедур приемки системы;

контроль за конвертацией данных из старой системы в новую.

После принятия системы в эксплуатацию, дальнейший контроль за

ее функционированием осуществляется с использованием процедур

административного контроля, который включает в себя:

адекватное разделение ответственности персонала и формальное

закрепление последовательности прохождения распоряжений по

системе, построение иерархической системы ответственности

работников;

наличие инструкций для операторов и руководства пользователей;

стандартизованные операционные процедуры: профессиональное

соответствие персонала, ротация должностных обязанностей, наличие

отработанного плана действий в случае возникновения чрезвычайных

ситуаций, аудит всех действий пользователей в системе;

контроль за правильным и полным приемом и безопасной

передачей данных;

регламентация операций, проверка адекватности системной

документации, контроль за распределением итоговых данных, аудит

проводимых в системе операций и анализ произошедших сбоев;

контроль за сохранностью информации, как на физическом, так и

логическом уровне;

разработка мер по обеспечению пожарной безопасности и

энергозащите оборудования.

Все вышеперечисленные методы используются при управлении

операционными рисками, классификация которых была приведена в

предыдущем параграфе. Данные по методам управления приведены в

таблице 4.

Таблица 4

Меры по оптимизации операционных рисков

Вид риска Методы управления

Риск безопас-

ности

планирование обеспечения безопасности, как часть

общесистемного планирования;

наличие системных решений, способных усилить

безопасность информационных технологий;

разработка внутрибанковской политики обеспечения

безопасности;

операционная безопасность;

физическая безопасность;

контроль доступа к информационным системам;

обмен опытом;

подготовка персонала.

Риск совер-

шения ошиб-

ки

наличие встроенных программных модулей,

контролирующих правильность и полноту ввода информации;

дружественный интерфейс;

утвержденные процедуры контроля изменений;

подготовка персонала;

разработка операционных инструкций.

Риск преры-

вания норма-

льной деяте-

льности

наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

наличие резервной системы и правил перехода на нее.

Неэффектив-

ное планиро-

вание

Разработка стратегического плана, содержащего конечные

цели технического развития организации и наличие увязок

плана с другими ключевыми требованиями к деятельности

банка.

Риск неадек-

ватного ис-

полнения уп-

равляющим

звеном своих

обязательств

пруденциальная практика;

наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

успешная организация поддержания и использования

систем.

Возросшее влияние информационного риска на функционирование

банковских организаций привело к тому, что на них обратил серьезное

внимание Базельский комитет по банковскому надзору, который в своем

документе «Risks in computer and telecommunication system.» выделил

следующие составляющие операционного риска в компьютерных и

телекоммуникационных системах:

риск безопасности (риск мошенничества) - связан с риском

противоправного использования информации, с которой оперирует

система, в целях, противоречащих интересам банка. Особенностью

операционного риска в контексте функционирования компьютерных

систем является то, что большие объемы информации могут быть

выведены из системы без оставления следов несанкционированного

проникновения, что может привести к ухудшению репутации банка и

выдвижению против банка имущественных исков;

риск совершения ошибки - риск связан с ошибками, которые

возникают при вводе данных в систему, модификации программного

обеспечения и во время технического обслуживания;

риск прерывания нормальной деятельности вследствие сбоев в

работе программного и аппаратного компонентов компьютерной

системы - риск уязвимости компьютерных систем, вследствие

непредвиденных происшествий;

риск неэффективного планирования;

риск неадекватного исполнения управляющим звеном своих

обязанностей - сводится к неготовности банка к чрезвычайной ситуации.

Кроме этого Базельским комитетом были разработаны

международные стандарты по контролю за операционными рисками, в

соответствии с которыми подсистема внутреннего контроля за

автоматизированными банковскими системами может быть условно

разделена на две составляющие:

подсистему общего контроля, связанную с процедурами,

сопутствующими работе компьютерных систем (контроль за

разработкой систем, контроль безопасности, контроль за тестированием

систем и т. д.);

подсистему частного контроля, связанную с функционированием

конкретной компьютерной системы (системы бухгалтерского учета,

системы электронных платежей и т. д.).

Общий контроль связан с условиями, в рамках которых

компьютерные системы разрабатываются, устанавливаются,

отлаживаются и функционируют. Задачей такого контроля является

разработка и обеспечение выполнения соответствующих требований при создании и применении конкретных систем, а также обеспечение

совместимости данных, программных продуктов и операционных

процедур в пределах организации.

Частный контроль связан с данными, операциями и сделками,

учитываемыми в конкретной системе и, следовательно, является

специфичным для каждой системы. Целью такого контроля является

гарантирование полного и корректного ввода, обработки и выдаче

информации.

Общий контроль в свою очередь может быть подразделен на

системный и административный.

Системный контроль включает в себя следующие процедуры:

проверка реальности внедрения новой системы или модернизации

существующей;

наличие стандартных процедур утверждения с перечислением

должностных лиц, в них участвующих;

участие конечных пользователей в процессе разработки и

внедрения системы;

наличие стандартизированных документации и спецификаций

аппаратных и программных средств, позволяющих уменьшить

зависимость функционирования системы от обслуживающего ее

персонала;

предварительное тестирование систем с привлечением конечных

пользователей;

наличие задокументированных процедур приемки системы;

контроль за конвертацией данных из старой системы в новую.

После принятия системы в эксплуатацию, дальнейший контроль за

ее функционированием осуществляется с использованием процедур

административного контроля, который включает в себя:

адекватное разделение ответственности персонала и формальное

закрепление последовательности прохождения распоряжений по

системе, построение иерархической системы ответственности

работников;

наличие инструкций для операторов и руководства пользователей;

стандартизованные операционные процедуры: профессиональное

соответствие персонала, ротация должностных обязанностей, наличие

отработанного плана действий в случае возникновения чрезвычайных

ситуаций, аудит всех действий пользователей в системе;

контроль за правильным и полным приемом и безопасной

передачей данных;

регламентация операций, проверка адекватности системной

документации, контроль за распределением итоговых данных, аудит

проводимых в системе операций и анализ произошедших сбоев;

контроль за сохранностью информации, как на физическом, так и

логическом уровне;

разработка мер по обеспечению пожарной безопасности и

энергозащите оборудования.

Все вышеперечисленные методы используются при управлении

операционными рисками, классификация которых была приведена в

предыдущем параграфе. Данные по методам управления приведены в

таблице 4.

Таблица 4

Меры по оптимизации операционных рисков

Вид риска Методы управления

Риск безопас-

ности

планирование обеспечения безопасности, как часть

общесистемного планирования;

наличие системных решений, способных усилить

безопасность информационных технологий;

разработка внутрибанковской политики обеспечения

безопасности;

операционная безопасность;

физическая безопасность;

контроль доступа к информационным системам;

обмен опытом;

подготовка персонала.

Риск совер-

шения ошиб-

ки

наличие встроенных программных модулей,

контролирующих правильность и полноту ввода информации;

дружественный интерфейс;

утвержденные процедуры контроля изменений;

подготовка персонала;

разработка операционных инструкций.

Риск преры-

вания норма-

льной деяте-

льности

наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

наличие резервной системы и правил перехода на нее.

Неэффектив-

ное планиро-

вание

Разработка стратегического плана, содержащего конечные

цели технического развития организации и наличие увязок

плана с другими ключевыми требованиями к деятельности

банка.

Риск неадек-

ватного ис-

полнения уп-

равляющим

звеном своих

обязательств

пруденциальная практика;

наличие официально утвержденного плана действий в

чрезвычайных ситуациях;

успешная организация поддержания и использования

систем.