Финансы » Управление операционным риском » Управление банковскими рисками

Управление банковскими рисками

Страница 1

Необходимость управления информационными и телекоммуникационными рисками (IT- рисками)

определяется значительным размером возможных операционных убытков, которые могут создавать угрозу финансовой устойчивости кредитной организации.

Управление рисками рассматривается нами на административном уровне информационной безопасности, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ [19].

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

- (пере)оценка (измерение) рисков;

- выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

- ликвидация риска (например, за счет устранения причины);

- уменьшение риска (например, за счет использования дополнительных защитных средств);

- принятие риска (и выработка плана действия в соответствующих условиях);

- переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы приведенные на рисунке 4.

Рис.4 Этапы управления рисками

Уже перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили четыре этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Подготовительные этапы управления рисками.

Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны [4].

Мы уже указывали на целесообразность создания карты информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими пришлось пренебречь. Если

информационная система

меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Популярные материалы:

Приоритетные направления кредитования в Республике Беларусь
Использование такого инструмента денежно-кредитной политики, как кредита является одним из важнейших условий обеспечения динамичного социально-экономического развития республики. Интенсивное, преимущественно долгосрочное кредитование экономики явилось важным фактором поддержания положительных темпо ...

Анализ российского рынка потребительского кредитования
Росту рынка потребительских кредитов будут способствовать ряд факторов, в числе которых продолжающийся рост экономики страны, сопровождаемый ростом доходов населения, появление на рынке новых игроков и новых кредитных продуктов и, как следствие, снижение ценовых условий кредитования. Такому стремит ...

Практическое применение векселей в экономике Республики Беларусь
Обеспечение производства оборотными средствами и средствами для расчетов является одной из узловых проблем нынешней экономической ситуации. Нужно иметь ввиду, что отказ от старого расчетно-платежного механизма, просуществовавшего с некоторыми изменениями с начала 30-х годов и вплоть до 90-х, произо ...