«Эффективные it-решения в области оценки и управления рисками коммерческого банка»

БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТВыпускная работа по«Основам информационных технологий» Магистранткакафедры банковской и финансовой экономики Янушкевич Ирина Андреевна Руководители: Кожич Павел Павлович Поздняков Андрей Михайлович Минск – 2010 г. Оглавление Оглавление 3Список обозначений ко всей выпускной работе 4Реферат на тему «Эффективные IT-решения в области оценки и управления рисками коммерческого банка» 5 Введение 5 6 6 Глава 1. Обзор литературы в предметной области, цели и задачи исследования 7^ Глава 2. Методологические основы исследования 9 Глава 3. Использование информационных технологий для создания эффективной системы риск-менеджмента в коммерческом банке 10^ Глава 4. Информационная безопасность и информационные риски в современных коммерческих банках 19 27 Заключение 28 29 Список литературы к реферату 30 Предметный указатель к реферату 31Интернет ресурсы в предметной области исследования 33Действующий личный сайт в WWW (гиперссылка) http:// irina-yanuschkevich.narod.ru/ 34Граф научных интересов 35Тестовые вопросы по основам информационных технологий 36Презентация магистерской диссертации 37Список литературы к выпускной работе 38Приложения 47 ^ Список обозначений ко всей выпускной работе ИБ – информационная безопасность. ИБС – информационные бизнес-системы. ОС – операционные системы. ПО – программное обеспечение. СУБД – системы управления базами данных. IT (Informational Technology) – информационные технологии. VaR (Value at Risk) – методика стоимостной оценки рисков.^ Реферат на тему «Эффективные IT-решения в области оценки и управления рисками коммерческого банка» Введение В современных условиях ведение банковского бизнеса неразрывно связано с компьютерными технологиями, использование которых позволяет, с одной стороны, ускорить обмен информацией, облегчает связь между участниками производственного процесса, увеличивает производительность труда персонала, позволяет сократить издержки, однако может также спровоцировать наступление операционного риска, связанного со сбоем компьютерных систем или отказом средств коммуникации. Банки в силу специфики своей деятельности сталкиваются с необходимостью использования информационных технологий для обработки и анализа больших объемов информации с целью: формирования разнообразных видов отчетов для Национального банка Республики Беларусь; ежедневного расчета обязательных нормативов, установленных Национальным банком; проведения операций на рынке ценных бумаг и контроля за соблюдением установленных лимитов; ежедневного ведения баз данных по различным операциям. Важную роль играют информационные технологии и для уменьшения трудозатрат бухгалтерских работников, позволяя частично автоматизировать бухгалтерский учет. Банки закупают программное обеспечение, при необходимости заключают с разработчиками программного обеспечения договоры на его доработку, в частности встраивание дополнительных модулей в уже установленное программное обеспечение. Безусловно, автоматизация зачастую требует значительных финансовых и временных затрат, в том числе на повышение квалификации собственного персонала, осуществляющего разработку и внедрение программного обеспечения, а также обучение тех сотрудников, которые являются пользователями программного обеспечения. В некоторых случаях банки вынуждены осуществлять затраты, связанные с привлечением сторонней организации для оказания банку аутсорсинговых услуг. Привлечение сторонней организации может быть связано с разными причинами, в том числе, например, недостаточной компетентностью собственного персонала, необходимостью внедрения и тестирования сложного программного обеспечения. В любом случае, отношения с аутсорсинговой организацией должны быть оформлены в виде договора, одним из пунктов которого будет являться обязательство организации, оказывающей услуги, не разглашать полученную в процессе оказания услуг конфиденциальную информацию, а также ответственность за нарушение этого обязательства. Информационные технологии в банках необходимы не только для обеспечения автоматизации бухгалтерского учета, получения и хранения информации в электронном виде. Как считают эксперты, сейчас условием выживания банка является эффективное управление рисками, а оно сегодня не мыслится без соответствующих средств автоматизации. Безусловно, внимание к таким IТ-решениям возросло, ситуация на рынке такова, что многие риски, которые раньше были актуальны для кредитных организаций, сегодня обострились и стали критичны. Речь идет и о риске несбалансированной ликвидности, и о рыночных рисках, и об операционных рисках, и о наиболее опасном для банков – кредитном риске. В связи с тем, что окружающая нас действительность усложняется, руководство банков постепенно приходит к выводу о необходимости использования информационных технологий с целью создания полноценной системы риск-менеджмента, а также количественной оценки рисков.^ Глава 1. Обзор литературы в предметной области, цели и задачи исследования Проблемы, касающиеся общих вопросов управления кредитным портфелем, оценки кредитного риска, мониторинга кредитного портфеля, рассмотрены в работах таких авторов как: В.Д. Алексеева, О.Н. Антипов, Ю.А. Бабичева, И.Т. Балабанов, Г.Н. Белоглазова, М.К. Беляев, М.З. Бор, А.В. Бузуев, Е.Ф. Жуков, В.В. Иванова, А.С. Кокин, Г.М. Колпаков, Г.Г. Коробова, К.В. Кочмола, Л.П. Кроливецкая, О.И. Лаврушин, А. Лобанов, М.И. Ляльков, B.C. Му­равьев, Е.А. Нестеренко, В.И. Осипов, Г.С. Панова, А.А. Первозванский, В.А. Пономарев, В.Г. Садков, В.Т. Севрук, Н.Э. Соколинская, З.А. Уткин, К.Г. Щумкова и некоторых других. Исследованиям проблем управления кредитным портфелем и оценки кредитного риска посвящены работы таких зарубежных экономистов, как: Е.В. Боуден, К. Редхэд, П.С. Роуз, Дж. Ф. Синки мл., С. Хьюз, Уильям Ф. Шарп, и другие. Вопросам процессного управления и связанным с ним аспектам уделяется большое внимание в научной литературе, что подчеркивает важность и актуальность решаемой задачи. Вопросы, связанные с моделированием бизнес-процессов и реинжинирингом, рассматривались в работах М. Хаммера, Д. Чампи, А.В. Шеер, Дж. Харрингтона, Б. Андерсона, Д. Джестона, А. Хансена, Я.М. Гританса, С.М. Ковалева, М. Каменовой, Д. Росса, В.Г. Елиферова, В.В. Репина, А. Резниченко, а также российских и международных стандартах. Проблемы процессного подхода к управлению регулярно обсуждаются на общероссийских форумах и научно-практических конференциях. Основные положения процессного подхода, построения систем менеджмента качества закреплены в международных стандартах серии ISO 900x и других. Вопросы управления качеством на основе процессного подхода и построения систем менеджмента качества рассматриваются в работах С. Джорджа, А. Ваймерскирх, В.А. Лапидус, Ю.П. Глудкина, Л. Егоровой, С.В. Корнеева, М. Ульянова, Д. Цаприлова, С. Пономарева, Э. Гончарова. Вопросы управления операционными рисками процессов рассматривались в трудах А.А. Козлова, А.О. Хмелева и др. Разработке и практическому использованию метода ABC (Activity Based Costing), применяемого для расчета стоимости процессов, посвящены труды Р. Купера, Р. Каплана, Э.В. Кондуковой, В.В. Рыжовой, Д. Атаманова, В. Савчука. Методология «Balanced Scorecard», применяемая для оценки эффективности деятельности компаний, в том числе ее бизнес-процессов, освещается в работах Р. Каплана, Д. Нортона, А.А. Томпсона, Э. Нили, В.Н. Слинькова. Построение систем поддержки принятия решений подробно рассматривается в работах И. Пилипенко, С.В. Корнеева, А.А. Сахарова, Е.Ю. Духонина, В. Артемьева, A. Berson, H. Watson, E. Thomsen. Отмеченные ученые и специалисты внесли значительный вклад в разработку различных теоретических и прикладных аспектов поддержки принятия решений по управлению рисками на основе процессного подхода и разработки информационно-аналитических систем поддержки принятия решений. Однако многие вопросы совершенствования управления рисками в отечественной банковской практике требуют дальнейшего исследования. Недостаточно исследованы теоретические основы управления рисками, не уделено должного внимания методам управления и минимизации кредитных и операционных рисков с использованием новейшего программного обеспечения, разработанного с целью повышения эффективности риск-менеджмента. Новым тенденциям развития банков, а также рекомендациям по формированию инструментов, моделей, технологий и механизмов информационного менеджмента в системе управления рисками отечественных банков не уделяется должного внимания. Недостаток и разнородность научных разработок, посвященных формированию новой системы управления кредитными и операционными рисками коммерческих банков в условиях реализации глобальных рисков, определяют дискуссионность многих вопросов, рассмотренных в работе, и требуют систематизации, теоретического обобщения и выделения новых перспективных направлений исследования. Целью исследования является разработка научно обоснованных предложений и методических рекомендаций по управлению кредитными и операционными рисками коммерческих банков в рамках комплексной систему риск-менеджмента с использованием прогрессивных IT-решений. Алгоритм достижения поставленной цели предусматривает решение ряда этапных задач:  охарактеризовать теоретические подходы к исследованию кредитного риска как экономической категории;  выявить операционные задачи и технологии управления рисками, связанными со спецификой банковского дела;  рассмотреть технологии управления кредитным и операционным рисками банка на основе системы информационного менеджмента;  дать оценку технологии реинжиниринга как системы управления устойчивости коммерческого банка на основе информационно-сетевой модели управления рисками;  разработать логическую модель управления операционным риском коммерческого банка.^ Глава 2. Методологические основы исследования Теоретико-методологическую основу исследования составили концептуальные положения научных трудов отечественных и зарубежных специалистов, раскрывающие особенности развития систем управления рисками коммерческих банков в условиях роста неопределенности экономики, особенности глобальной и национальной политики денежно-кредитного регулирования экономики в условиях кризиса, а также фундаментальные концепции и гипотезы, представленные в работах отечественных и зарубежных экономистов, занимающихся вопросами формирования системы риск-менеджмента финансово-кредитных институтов, основанные на синергетическом, институциональном подходе к реализации стратегий, обеспечивающих устойчивое развитие банковской системы. Инструментарно-методический аппарат исследования базируется на системно-функциональном подходе и применении общенаучных методов исследования логического, статистического и ситуационного анализа; в работе нашли конкретное применение методы экспертных оценок финансовой устойчивости, группировок, сравнения, концептуального моделирования, монографического обследования и др. Информационно-эмпирическая база исследования формировалась на основе законодательных и нормативных актов республики Беларусь, официальных данных Министерства статистики, статистических и информационно-аналитических данных Национального банка Республики Беларусь, Ассоциации белорусских банков, материалов монографических исследований отечественных и зарубежных ученых, авторских расчетов и Интернет-ресурсов. Рабочая гипотеза исследования состоит в том, что огромные убытки коммерческих банков, возникшие в том числе вследствие мирового финансового кризиса, определяют необходимость проектирования новой системы управления банковскими рисками в целом и операционным и кредитным рисками, в частности, основанной не только на методике измерения риска, но и функционировании единой системы управления данными видами рисков, встроенной в логику информационно-сетевого риск-менеджмента банка.^ Глава 3. Использование информационных технологий для создания эффективной системы риск-менеджмента в коммерческом банке В связи с тем, что окружающая нас действительность усложняется, руководство банков постепенно приходит к выводу о необходимости использования информационных технологий с целью создания полноценной системы риск-менеджмента, а также количественной оценки рисков. Система риск-менеджмента должна удовлетворять критериям: наличия единого центра, в котором фиксируется вся информация по рискам, поступающая от всех структурных подразделений; обеспечения трансформации информации обо всех рисках в единый стандарт, позволяющий проводить их оценку; гибкости и возможности приспособиться к меняющимся условиям функционирования банка; обладания необходимым инструментарием для отслеживания рисков и управления ими как на этапах, предваряющих операции, так и во время их осуществления и после завершения; способности координировать деятельность различных структурных подразделений в процессе управления рисками. Результатом работы данной системы должны стать полная информация о рисках, принятых банком, их стоимостной оценке и управленческие решения относительно этих рисков. Наиболее важно определить состав и объем информации, используемой системой, для эффективного управления рисками. Ее недостаток ведет к неточности работы системы, а избыток усложняет эту работу, что может повлечь неоправданные расходы. Информация об изучаемом объекте имеет качественные и количественные характеристики. Часто для ее использования требуется интерпретация, придание ей такой формы, которую банк сможет применять при оценке рисков. Существуют несколько способов приведения имеющейся информации к одному расчетному показателю. Часть информации, имеющей количественную оценку, можно использовать практически без изменения. Степень ее влияния будет зависеть от вероятности ее реализации или применяемого весового коэффициента. Например, в банковской методике может быть зафиксировано увеличение оценки кредитного риска в размере 30% от снижения выручки заемщика. Следовательно, при уменьшении выручки заемщика на 100 единиц оценка кредитного риска должна вырасти на 30 единиц. Этот способ наиболее прост в применении, но имеет недостатки, так как возможно некорректное использование информации. Так, причинами снижения выручки, которые не влияют на качество обслуживания заемщиком долга, могут быть сезонное колебание, модернизация оборудования, временное уменьшение выпуска продукции. Возможны и другие причины, поэтому банк должен накопить достаточное количество наблюдений за колебаниями каждого параметра, чтобы оценить меру его влияния на результирующий показатель. При анализе качественной информации основной проблемой является ее интерпретация. Эта информация изначально не имеет числовых оценок, и при приведении ее к числовому виду могут использоваться балльная оценка, ранжирование информации, например по уровням — хорошо, средне, плохо, с присвоением каждому уровню числового значения. Здесь возникает сложность в присвоении конкретного числового значения, но она может быть преодолена путем проведения большого количества наблюдений. Однако не всегда качественным характеристикам можно задать числовое значение. Например, банк получает информацию, что заемщик привлек внешнего консультанта. Это может означать как наличие внутренних проблем заемщика, так и желание повысить эффективность деятельности банка, т.е. можно получить противоположные интерпретации одного и того же факта. Для более точной оценки может понадобиться дополнительная информация. Следующим этапом в анализе информации является ее классификация по видам рисков. Информация влияет на числовую оценку фактора риска, который, в свою очередь, оказывает воздействие на оценку самого риска. На этой основе базируется управленческое решение относительно риска. Это можно представить в виде схемы (рис. 3.1). Рисунок 3.1 - Последовательность действий при оценке рискаИсточник: [9, с. 214].Недостатками данной схемы являются ее детерминированный характер, негибкость к изменяющимся условиям деятельности банка. В реальности можно наблюдать большее количество связей между поступающей информацией и рисками. Одна и та же информация может влиять на оценку нескольких видов рисков, например, информация об изменении среднего уровня рыночных цен. Проявление одних рисков может обусловить повышение значений других, например, реализация кредитного риска влечет повышение риска ликвидности. В связи с этим схема может быть доработана (рис. 3.2). Рисунок 3.2 - Схема возможных связей информации об исследуемых объектах, факторов риска, самих рисков и принимаемых решений Источник: [9, с.215].Данная схема сложна в реализации на практике управления банковскими рисками по следующим причинам: не вся информация может быть доступна банку; для некоторых рисков практически невозможно определить полный перечень факторов и использовать их при оценке; не все банковские риски реализуются, многие долгое время могут оставаться в скрытом состоянии, следовательно, не ведется их учет, на практике не апробированы управленческие решения для этих случаев; существуют однонаправленные тенденции, не имеющие фактической связи между собой, но принимаемые как взаимосвязанные; полное отображение данной схемы невозможно. По указанным причинам банки используют при оценке риска различные модели, в которых с определенной степенью точности можно отображать реальные ситуации. Преимуществами моделирования являются: невысокие затраты; простота реализации; обеспечение оперативного регулирования параметров модели; возможность прогнозировать будущее состояние рассматриваемого объекта на основе малого объема информации. Согласно теории управления банковскими рисками существует несколько видов методик. Наиболее распространены модели интегральной оценки рисков на основе показателей деятельности экономических субъектов (например, рентабельность, коэффициенты оборачиваемости) и макроэкономических индикаторов (например, инфляция, значение учетной ставки). В последнее время применяются факторные модели, учитывающие вероятность наступления рисковых ситуаций, которая может быть рассчитана только на основе статистики и наблюдений за фактами проявления рисков. Наибольшая точность достигается в результате многократных наблюдений в течение ряда лет. Сегодня многие белорусские банки находятся на начальном этапе, т.е. база данных по рискам только формируется. Перед ними стоит задача накопления определенного объема информации по рискам и приведение ее к виду, необходимому для анализа. Эта информация может быть достаточной в случае, когда проведенный на ее основе анализ с большой степенью доверия отражает реальное состояние рисков, принятых банком. Достаточность информации должна устанавливаться с нескольких позиций. Во-первых, с позиции реальности оценок уровней риска и прогнозов будущих состояний. В математической статистике используется понятие энтропии, которая показывает меру неопределенности будущего состояния рассматриваемой системы [6, с. 17]. Во-вторых, с позиции соотнесения затрат по сбору и обработке информации с пользой, приносимой данной деятельностью банку. Исходя из этого банки могут, опираясь на общепринятые методы сбора и обработки информации о рисках, выработать свои методики. За рубежом данный подход именуется «подходом на основе внутренних моделей» (internal models approach), и им пользуются банки, которые не только накопили необходимый объем информации о рисках, но и успешно применяют собственные модели оценки рисков. На сегодняшний день на рынке существует большое количество программных продуктов, предназначение которых заключается в обеспечении эффективного управления рисками в соответствии с задачами риск-менеджмента. Авторитетная аналитическая компания Gartner разработала платформу интегрированного управления рисками (integrated risk management platform) в соответствии с требованиями Базеля II, которая обеспечивает сбор и подготовку данных, вычисление и формирование отчетов о рисках, возникающих в банках при выполнении текущих и предполагаемых операций. Однако целостная автоматизированная система, которая позволит вовремя идентифицировать и оценить все многообразие рисков, с которыми сталкивается банк, как отмечают сами аналитики из Gartner, пока пребывает в области желаемого. Аналитики компании Gartner дают понятие «архитектура системы автоматизации управления рисками». По их мнению, она должна содержать компоненты для хранения и управления данными, компоненты риск-механизма (risk engine components), которые обеспечивают вычисления для выявления, учета и моделирования факторов риска, измерения капитала и стресс-тестирования. Также в систему могут входить средства формирования отчетов и механизмы оповещения о чрезвычайных ситуациях. Если к компонентам риск-механизма применить более широкое понятие — просто «механизм обработки данных», — то представленная трехслойная архитектура системы управления рисками может характеризовать вообще любую информационную систему. Оценка риска. Один из наиболее сложных для автоматизации этапов риск-менеджмента — измерение рисков. Оно может осуществляться с применением различных подходов, методик и моделей. Банки используют общеизвестные модели, но, кроме того, нуждаются в возможности создания и настройки собственных моделей дефолта, распределения вероятности дефолта, методов расчета потерь. Основные предлагаемые на сегодняшний день поставщиками программного обеспечения механизмы: расчет вероятности дефолта VaR на базе исторических и стохастических симуляций, расчет ожидаемых и неожиданных потерь, бэк-тестинг и стресс-тестинг портфеля при задании правил изменения существенных факторов риска, сценарный анализ what-if. Программные продукты от компании ИНЭК являются одним из самых распространенных в банках соседней Российской Федерации инструментов финансовых аналитиков. Они обладают богатой палитрой риск-механизмов, не уступающей аналогичным западным программным продуктам. Однако у этих программных продуктов есть и недостатки, к которым относятся: отсутствие развитой системы хранения и управления данными, особенно в части сделок, что позволяет массовым пользователям использовать не более 10-20% возможностей системы без решения сложных задач по интеграции данных. К тому же задачи формирования резервов, оперативного управления и мониторинга факторов, влияющих на риск, вообще остаются за пределами функциональности этих продуктов. Продукты компании EGAR Technology — пример программного продукта, разработанного зарубежными разработчиками. В этих продуктах дополнительно присутствуют развитая система хранения и управления данными, а также функции оповещения (контроль лимитов). Задачи оперативного управления и частично мониторинга в достаточной степени обеспечиваются системой. Однако и у этих продуктов есть свои недостатки: состав финансовых инструментов далеко не полный и никогда не может стать таковым, поскольку это уже относится к области интегрированных банковских систем. Поэтому система не позволяет решать задачи комплексного управления рисками ликвидности для всех операций банка и операционными рисками, а также не соответствует полностью принципам замкнутого цикла методологии управления рисками. Хранилища данных, в том числе от компании Intersoft Lab, наиболее успешно решают задачи по оценке риска ликвидности, GAP-анализу процентного риска, подготовке отчетов о структуре портфелей финансовых инструментов и оперативному анализу реестров операций в разрезе всех (в отличие от локальных систем) финансовых инструментов банка, клиентов и контрагентов. Эта информация является основой для использования риск-механизмов, расчета резервов и установки лимитов. Также хранилище данных — практически единственный инструмент, обеспечивающий ведение архива реализованных операционных рисков в соответствии с рекомендациями Базеля II, поэтому в процессе оценки риска его имеет смысл рассматривать в первую очередь как компонент хранения и управления данными. Зарубежные компании предлагают продукты, позволяющие моделировать вероятность дефолта (например, компания KRM-cr), оценивать кредитный риск (Numerical Technologies Incorporated). Компания SAS Institute, один из мировых лидеров в области обработки больших массивов данных при помощи статистических методов, предлагает для работы с различными видами рисков продукт SAS Risk Management. Решение, ориентированное на собственные механизмы консолидации данных, позволяет использовать различные модели предсказания дефолта, строить сложные функции распределения вероятности. Встроенные функции статистического моделирования позволяют моделировать поведение стохастических существенных факторов риска. SAS предлагает услуги по конфигурированию приложения для использования различных популярных моделей, а именно Riskmetrics, CreditMetrics, Credit Portfolio View, CreditRisk+, KMV и др. При реализации поддержки методов измерения кредитного риска компания Algorithmics использовала богатый опыт и экспертизу Fitch Group. Продукт Algo Credit Exposure предлагает, в частности, матрицу корреляции между вероятностями дефолтов и кредитными потерями. Большое количество моделей предлагается для расчета вероятностей дефолта. Формирование резервов. Методы расчета резервов под возможные потери при наступлении рисковых событий однозначно регламентированы регулирующими органами. Банки не склонны формировать большие резервы, чем от них требуется, поскольку это ограничивает их бизнес-деятельность и уровень риска, принимаемый в действительности, а не «по отчетности». Поэтому формальное создание резервов с точки зрения автоматизации является прерогативой интегрированных банковских систем, обеспечивающих клиентскими местами центральную бухгалтерию банка, ответственную за «отчет по нормативам». Источником информации о величине принятых рисков является для них служба риск-менеджмента, аккумулирующая сведения о величинах риска по различным направлениям деятельности банка, его клиентов/контрагентов. Состав сведений может быть определен как самой службой, так и различными бизнес-подразделениями, отвечающими за измерение риска на своем участке бизнес-деятельности банка. В любом случае требуется организовать обмен информацией между бухгалтерией и подразделениями, причастными к формированию резервов. Пока что в этой области наряду с ИБС доминируют средства малой автоматизации (MS Office) и системы документооборота, а применение хранилища данных может положительно повлиять на технологию формирования резервов, обеспечив консолидацию необходимой информации от подразделений в заранее определенных шаблонах. Оперативное управление. Функционал для оперативного управления рисками «размыт» между различными информационными системами и отличается большим разнообразием. Оперативное управление ликвидностью, изменение структуры портфелей, хеджирование выполняют казначейство банка, дилинговые и другие торговые подразделения. Средствами автоматизации для них являются специализированные программные системы, такие как EGAR Trading Systems (EGAR Technology), NAVIGATOR (SoftWell), и соответствующие им по назначению подсистемы в составе интегрированных банковских систем. Управление операционными рисками достигается путем внедрения процессной технологии в АБС. Функциональность по управлению деятельностью подразделений в рамках установленных лимитов также распределена по различным системам. В первую очередь это CRM и фронтальные модули ИБС и специализированных торговых систем. Для ряда банковских продуктов невозможно полностью автоматизировать процесс контроля лимитов при совершении операций. Например, контроль на соответствие лимитам при выдаче кредита корпоративному клиенту осуществляется во время заседания кредитного комитета, а не в момент оформления кредитного договора. Также вопрос контроля лимитов находится в сфере ответственности дилера, заключающего сделки, а не в информационной системе. Для таких банковских продуктов уместно реализовать функции оповещения об опасности нарушения лимитов, выполняемые по запросу при работе пользователей с информационной системой. Для ряда банковских продуктов (например, для потребительского кредитования) контроль лимитов при выполнении операции должен носить запрещающий характер. Для этого существуют специализированные кредитные системы, объединяющие в одном техпроцессе оценку риска (скоринг), контроль лимитов и непосредственно выполнение операции. Для автоматизации процесса установки и согласования между собой лимитов в разрезе банковских продуктов, контрагентов, клиентов и их групп, сроков, валют и т.д. чаще всего применяются локальные разработки, выполненные с использованием средств малой автоматизации. Хранилище данных в процессе оперативного управления рисками является единым центром установки и хранения лимитов в историческом разрезе, источником данных для дистрибуции лимитов во фронтальные системы, обеспечивает сбор данных о выполненных операциях, накапливает статистику о нарушениях лимитов, обеспечивает эффективное взаимодействие процессов формирования резервов и контроля лимитов. Применение хранилища данных в задаче контроля лимитов по технологии схоже с задачей финансового планирования, учета и план-факт анализа. Мониторинг факторов, влияющих на размер риска. По итогам мониторинга факторов, влияющих на размер риска, в ИБС фиксируются изменения курсов валют. В различных фронт-офисных системах отмечаются изменения в рейтингах клиентов и контрагентов, изменения качества обеспечений, вводятся данные по операциям обслуживания заключенных сделок, новым сделкам. Появление этой информации приводит к необходимости выполнения различных расчетов. Переоценка в результате изменения курсов валют традиционно выполняется в ИБС, в первую очередь для решения задач бухгалтерского учета, затем эта информация используется при корректировках резервов и лимитов. Роль хранилища данных в мониторинге факторов, влияющих на размер риска, заключается в аккумуляции информации об изменениях внутри банка и на рынке, фиксируемых в оперативных системах. Также механизмы хранилища данных должны своевременно инициировать согласованные процессы по изменению резервов и лимитов. Таким образом, комплексная система управления рисками представляет собой «лоскутное одеяло», состоящее из различных систем, объединенных единым технологическим процессом и методологией риск-менеджмента [4, с. 22]. ^ Глава 4. Информационная безопасность и информационные риски в современных коммерческих банках Как уже было сказано, информационные системы не только позволяют обрабатывать информацию и выстраивать систему управления рисками, но и несут в себе дополнительные риски. Снижению операционного риска может способствовать развитие систем автоматизации банковских технологий и защиты информации. При этом кредитной организации рекомендуется принимать во внимание возможную трансформацию операционного риска: при ручной (неавтоматизированной) обработке существует высокая вероятность наступления события, приводящего к убыткам (например, ошибка при вводе данных), а величина потенциальных убытков — небольшая или умеренная, в то время как с повышением уровня автоматизации вероятность наступления события, приводящего к убыткам, снижается, но величина потенциальных убытков может быть весьма значительной (например, ошибка в программном обеспечении или системный сбой). Стоит отметить, что тема информационной безопасности для банков далеко не новая. Банкиры прекрасно понимают стоимость информационной безопасности и ее взаимосвязь с риском потери деловой репутации и стратегическим риском, а также эффект масштаба: чем крупнее банк, разветвленнее его территориальная сеть, чем активнее он развивается, тем более нелинейно могут возрастать его информационные риски. Однако понятие обеспечения информационной безопасности не совсем совпадает с управлением информационными рисками как частью операционных рисков, а включается в него. Дело в том, что в рамках обеспечения информационной безопасности, как правило, оценивается только часть потерь, а именно ожидаемые потери, тогда как предметом риск-менеджмента являются как ожидаемые, так и неожидаемые потери, которые банк будет вынужден покрывать собственными средствами. Можно привести как минимум три определения информационных рисков, использование каждого из которых будет оправдано решаемыми задачами. Самое узкое определение информационных рисков — это риски утраты, несанкционированного изменения информации из-за сбоев в функционировании информационных систем или их выхода из строя, приводящие к потерям. В данном случае информационный риск соответствует категории I уровня операционных рисков в классификации Базельского комитета «Остановка бизнеса и сбои в системах». Наиболее широкое определение включает риск возникновения убытков из-за неправильной организации или умышленного нарушения информационных потоков и систем организации. Такое расширенное понимание информационного риска совершенно оправданно, если задаться целью оценить риски в широком контексте информационной безопасности банка, включая организацию работ службы безопасности, PR-центра, информационных технологий и др. Однако при этом в круг рассмотрения попадают довольно разнородные риски, подходы при оценке и управлении которыми должны быть разными. Применение информационных технологий является одним из важных факторов, определяющих конкурентоспособность банка. Однако наряду с очевидными преимуществами, такими как повышение скорости и качества обслуживания клиентов, доступности банковских услуг, снижение издержек, использование информационных технологий привносит новые существенные риски. Именно они приобретают все большее значение по мере развития конкуренции в банковской сфере и расширении географического присутствия банков. Целесообразно создать карту информационной инфраструктуры банка с тем, чтобы видеть, какие объекты IT-инфраструктуры выбраны для анализа рисков, а какие остались за его рамками. Карту следует поддерживать в актуальном состоянии, чтобы при изменении IT-инфраструктуры или более глубоком анализе рисков легко можно было оценить, какие объекты нуждаются в рассмотрении. Карта информационной инфраструктуры создается в рамках инвентаризации IТ-активов банка. Можно выделить следующие уровни информационной инфраструктуры: физические (линии связи, аппаратные средства и пр.); сетевые (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.); сетевые приложения и сервисы; операционные системы (ОС); системы управления базами данных (СУБД); банковские технологические процессы и приложения; бизнес-процессы организации. IT-риски банка являются частью операционных рисков, поэтому их следует рассматривать в рамках единой с операционными рисками методологии. С точки зрения оценки рисков важен анализ не только повреждения IT-актива, например, сбоя программного обеспечения, но и его влияния на выход бизнес-процесса, т.е. на поставки внешним и внутренним пользователям «продуктов» бизнес-процесса. Кажд