Система управления операционным риском в российских коммерческих банках и ее совершенствование (1142739), страница 16
Текст из файла (страница 16)
информацию, подготовленную всоотв. с запросами пользователей.Сформированы ли основы управления агрегацией данных с определением основных критериев ипроцедур?; Сформированы ли структура агрегации с определением необходимых ресурсов?;Сформирована ли Политика по управлению ОР с учетом требований по агрегации данных?;Обеспечивается ли полное документирование процесса агрегации данных?; Осуществляется липроверка квалификации персонала, участвующего в процессе агрегации данных и управления ОР?;Обеспечивается ли контроль жизненного цикла данных по событиям риска?; Сформулированы литребования к качеству хранения информации?; Обеспечивается ли подробная классификация исистематизация событий риска?Обеспечивается ли контроль за процессом агрегации данных?; Определены ли средства минимизациирисков и процедуры контроля, возникающие при ручном вводе информации?; Обеспечивается лисогласованность использования различных источников данных по событиям ОР?; Обеспечивается липроцесс выявления и исправления некорректных данных в процессе агрегации?; Обеспечивается лиизмерение и мониторинг всех банковских процессов?; Обеспечивается ли наличие механизмов ручной иавтоматической правки при проведении проверок?; Осуществляется ли периодическое подтверждениеактуальности и полноты агрегируемых данных?; Сформулированы ли Правлением собственныетребования к составлению отчетности?; Обеспечивается ли дифференциация информации в зависимостиот запросов Правления, Совета директоров?Обеспечивается ли идентификация всех элементов банковской группы в целях составления отчетности?;Обеспечивается ли объяснение допускаемых исключений в процессе агрегации данных по событиямОР?Обеспечивается ли способность своевременно предоставлять запрашиваемую информацию по событиямОР в том числе в кризисных условиях?; Обеспечивается ли возможность формирования отчетов поспециализированным запросам?; Обеспечивается ли возможность настройки шаблонов данных?;Обеспечивается ли агрегация данных в режиме он – лайн?; Обеспечивается ли возможность включения вбазу новых бизнес линий, внешних факторов, влияющих на риск профиль банка и т.п?; Обеспечиваетсяли возможность вносить в базу корректировки, связанные с изменением законодательства?;Обеспечивается ли соответствие формируемой отчетности профилю рисков и бизнес модели?;Обеспечивается ли анализ сценариев развития процессов, связанных с формированием уровня ОР вБанке?Сформулированы ли требования к оперативному составлению отчетности в нормальных и кризисныхусловиях?; Обеспечивается ли возможность формирования всех необходимых отчетов в кратчайшиесроки в кризисных условиях?; Осуществляется ли проверка агрегируемых данных и сформированныхотчетов на регулярной основе?;Обеспечивается ли доступ к отчетам, характеризующим уровень ОР с учетом политикиконфиденциальности?; Обеспечивается ли своевременное формирование отчетов об уровне ОР?;77Продолжение Таблицы 1212.
Принцип защиты информации и конфиденциальных данных;УправлениеРиски, связанные с конфиденциальностьюклиентских данных должны идентифицироватьсяна постоянной основе и контролироватьсяСов.директоров и ПравлениемКластеризацияконфиденциальныхданныхВ целях обеспечения надлежащего управлениярисками, связанными с конфиденциальностьюклиентских данных, необходимо вводитьклассификации данных и различные уровнизащитыКО должна иметь четкое представление обиспользуемых инф.
технологиях и системах,местах хранения информации, ее виде. Порядокдоступа данных должен ограничиваться с учетомсоблюдения целесообразностиТехнологическая инфраструктура, средстваавтоматизации и защиты должны подбираться сучетом индивидуальных особенностей КО иактуализироватьсяДоступ и хранениеданныхБезопасностьинфраструктуры итехнологийВыбор, контроль,обучение сотрудников,имеющих доступ кконфиденциальнымданнымИдентификация рискови контроль вотношении соблюденияконфиденциальностиНеобходимо тщательно подбирать, обучать иконтролировать кадры, участвующие в процессеуправления конфиденциальными даннымиИнциденты, связанныес персональнымиданными, внутренние ивнешние коммуникацииБанки должны иметь инструменты быстрогореагирования и стратегии действия в случаевыявления нарушений защиты информации.
Приэтом необходимо проводить мониторингрыночных тенденций с целью выявленияпотенциальных зон риска. В процессекоммуникаций с аутсорсинговыми компаниямизащита информации должна быть одним изопределяющих критериевКонфиденциальность данных должнаобуславливать ответственность за сохранностьинформации. Каталог рисков долженпериодически обновлятьсяОбеспечивается ли независимость Управления рисков от структурных единиц, отвечающих заобработку данных?; Обеспечивается ли документирование обязанностей и ответственности всехучастников и подразделений, вовлеченных в процесс работы с персональными данными?;Обеспечивается ли регулярное информирование Правления и Совета директоров Банка об уровнеэффективности защиты персональных данных?;Определена ли степень ответственности за сохранность конфиденциальных данных в отношении всехорганизаций, подразделений, сотрудников, участвующих в процессе обработки и использованияклиентских данных?; Сформирован ли четкий и прозрачный список категорий данных клиентов?;Используются ли различные уровни шифровки и защиты информации?; Обеспечивается лидокументирование процессов доступа к конфиденциальным данным?;Обеспечивается ли инвентаризация систем аккумулирования и хранения данных на постояннойоснове?; Учитывается ли повышенный уровень риска при хранении данных за пределами страны иналичии доступа к данным из за рубежа?; Установлены ли права доступа к информации, порядокразгрузки систем, утилизации документов, резервного копирования?; Разработана ли система доступак информации с учетом функц.
обязанностей различных пользователей?Являются ли стандарты безопасности неотъемлемой частью общей концепции защиты информации?;Проводится ли мониторинг рыночных условий с целью поиска потенциальных угроз и путейоптимизации защиты?; Проводится ли на внутренние проверки обеспечения безопасностиконфиденциальных данных?; Обеспечивается ли безопасность хранения информации (серверов, базданных, резервного копирования и передачи информации (в рамках сетей и иерархии данных)?Сформулированы ли критерии отбора персонала, участвующего в процессе управленияконфиденциальными данными?; Закреплена ли в трудовых договорах ответственность сотрудников засохранность банковской тайны?; Обеспечивается ли проверка привлеченных со стороны сотрудников вчасти обеспечения сохранности внутрибанковской информации?Обеспечивается ли интеграция оценки рисков, связанных с конфиденциальностью данных вструктурные процессы управления рисками с привлечением it структур, риск подразделений,контролирующих органов?; Обеспечивается ли определение и регулярный пересмотр сценариевразвития рисков и ключевых элементов управления с учетом сложности и объемов осуществляемыхопераций?Обеспечивается ли полнота и точность отчетности, характеризующей уровень защиты информации?;Обеспечиваются ли регулярная проверка и пересмотр границ и критериев соблюденияконфиденциальности данных с последующим использованием их в процессе совершенствования идоработки систем?; Сформированы ли планы кооперации Банка с внешними органами в случаенаступления событий риска?; Проводится ли оценка стандартов защиты персональных данных до ипосле заключения договора подряда?; Осуществляется ли информирование привлеченных организацийо правилах и стандартах обеспечения конфиденциальности, установленных банком ?; Определены лиБанком ответственные за контроль соблюдения аутсорсинговой компанией принциповконфиденциальности сотрудники?Источник: составлено автором78Современный уровень развития банковского дела в России, сопутствующий емууровень операционных рисков, сформировавшийся в большей степени по причиневнешнего мошенничества, напрямую связанного с недостаточным уровнем защитыклиентских данных, свидетельствует о том, что защите банковской тайны и данныхклиентов в российской практике в отличие от европейской уделяется недостаточноевнимание.
В случае нарушения банковской тайны кредитная организация можетпонести существенные убытки, ведь защита информации напрямую связана с фактамимошенничества, как внутреннего, так и внешнего.Статистические данные, представленные на рисунке 9 доказывают, что основнымисточником операционного риска являются внешние обстоятельства – 49,17%,человеческий фактор – 31,81%, внутренние процессы – 13,74% [97] .Классификация событий операционного риска по источникам рискаSystem(информационныесистемы)5%External (внешниеобстоятельства)Process (внутреннийпроцесс)14%49%People (человеческийфактор)32%Источник: составлено автором на основании базы данных по событиям операционногориска за период 2000-2013г.
информационно-аналитического портала Riskofficer [электронныйресурс]. Режим доступа: http://www.riskofficer.ru/misc.php?do=formresults_poll&fid=1 (Датаобращения - 04.01.2014)Рисунок 9 - Распределение событий операционного риска по источникам рискаДанные о распределении потерь были получены с помощью информационно –аналитического портала Riskofficer (выборка включает 2060 событий риска за период с2000 по 2013 г., произошедших в кредитных организациях России, Украины, США,Европы, Великобритании, Азии, Австралии, Новой Зеландии, Северной и центральнойАмерики, Африки).По данным рисунка 10 видно, что наиболее часто встречающимся событиемоперационногорискаявляется«внешнееворовствоимошенничество»[97],составляющее 45,29%.
На втором месте – «внутреннее воровство и мошенничество» 20,05%, третье место – «клиенты, продукты и деловая практика» – 9,61%.7950.00%45.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%Доля типа операционного события общем количествеИсточник: составлено автором на основании базы данных по событиям операционногориска за период 2000-2013г. информационно-аналитического портала Riskofficer [электронныйресурс]. Режим доступа: http://www.riskofficer.ru/misc.php?do=formresults_poll&fid=1 (Датаобращения - 04.01.2014)Рисунок 10 - Классификация событий операционного риска по типам событийВопрос минимизации рисков, связанных с внешним мошенничеством становитсяособенно актуальным после вступления в силу 9 статьи Закона «О платежной системе»161-ФЗ, который гласит, что кредитная организация обязана возмещать суммунеправомерносовершенныхоперацийсэлектроннымсредствомплатежа,принадлежащим клиенту, сразу после направленного им в течение суток уведомления вбанк.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
