Диссертация (1152275), страница 67
Текст из файла (страница 67)
Gartner опубликовал результаты272опроса руководителей, которые показали, что 60% крупных предприятий будут испытывать значительное цифровое нарушение, связанное с неспособностью службы по ИТ-безопасностиуправлять цифровыми рисками в отношении новых технологий, распространения подключенныхустройств и взаимозависимости.Согласно отчету, опубликованному Online Trust Alliance, более 90% случаев утечки данных, произошедшие за 2014 год, являлись следствием сочетания человеческой ошибки и плохоразработанных рабочих процессов.
В отчете говорится, что нарушения можно было бы предотвратить, при наличии в организации соответствующей стратегия и политики управления цифровыми рисками.В традиционной структурой организации, оценка цифрового риска проводится не инженерами и требуют участия людей, которых они оценивают. Не существует системы сдерживанияи противовесов, подтверждающих применение передовых методов и лучших практик управленияцифровыми рисками в организации. Необходимость независимой оценки становится предельноясной.
Независимый обзор обеспечивает цифровую прозрачность рисков, предоставляя точнуюи своевременную отчетность о потенциальных факторах риска.Современные модели защиты от кибератак становятся все менее и менее эффективными. Онив большей степени ручные и требуют специальных умений. Как результат они не масштабируются,учитывая растущий объем атак, и слишком обременительны для бизнеса. Безопасность является критический важной для любой финансовой инновации.
Необходимо создавать совершенно разные модели управления кибер-рисками, к которым можно отнести: расставление приоритетов информационных активов на основе бизнес-рисков. Большинство учреждений не имеют достаточного представления о том, какие информационные активы онидолжны защищать и с каким приоритетом. В дальнейшем командам по кибербезопасности необходимо работать с бизнес-лидерами, чтобы понять бизнес-риски (например, потерю частной информации о новом производственном процессе) по всей цепочке создания стоимости и соответственно расставить приоритеты для основных информационных активов; обеспечение дифференцированной защиты в зависимости от важности активов.
Использование дифференцированного контроля (например, шифрования, более строгих паролей) позволяетучреждениям сосредоточить время и ресурсы на защите информационных активов, которые наиболееважны; глубокая интеграция безопасности в технологическую среду для обеспечения масштабируемости. Почти каждая часть более широкой технологической среды влияет на способность организа-273ции защитить себя - от практики разработки приложений до политик замены устаревшего оборудования. Учреждения должны перейти от простого обеспечения безопасности к обучению всего своегоперсонала, чтобы с первого дня включить его в технологические проекты. развертывание активной защиты для раннего раскрытия атак.
Имеется огромное количество информации о потенциальных атаках, как из внешних источников разведки, так и из собственнойтехнологической среды учреждения. Все чаще компаниям необходимо будет развивать возможностидля сбора соответствующей информации, а также для анализа и настройки своих систем защиты(например, брандмауэров). непрерывная проверка, с целью улучшения реакции на инцидент.
Неадекватная реакция нанарушение - не только со стороны технологической группы, но и со стороны маркетинговых, общественных связей или функций обслуживания клиентов - может быть столь же разрушительным, как исамо нарушение. Чтобы получить информацию от военных, учреждения должны запускать кроссфункциональные кибервойны, чтобы улучшить свою способность эффективно реагировать в реальном времени поддержка персонала, которая поможет понять ценность информационных активов. Пользователи часто являются самой большой уязвимостью, которую имеет организация (они нажимаютна ссылки, которые им не следует, выбирают небезопасные пароли и отправляют конфиденциальныефайлы по электронной почте в широкие списки рассылки). Организациям необходимо сегментировать пользователей и помогать каждой группе понимать бизнес-риски информационных активов, ккоторым они обращаются каждый день; интеграция кибербезопасности в процессы управления рисками в масштабах всей организации.
Кибербезопасность является корпоративным риском и должна управляться как единое целое.Оценки возможных кибератак должны быть интегрированы с анализом других рисков и представлены в соответствующих обсуждениях руководства и Правления. Кроме того, последствия кибербезопасности должны быть интегрированы в широкий набор функций управления предприятием, такихкак управление персоналом, управление поставщиками и соответствие нормативным требованиям.Существует гораздо меньше консенсуса по многим общественным вопросам в области кибербезопасности. Интересно, что специалисты в области здравоохранения и страхования, скореевсего, скажут, что, даже если регулирование может быть неэффективным, оно вынуждает высшееруководство уделять необходимое время и ресурсы кибербезопасности.
Напротив, явное большинство банковских технологов заявило, что регулирование не имеет большого значения: почтиодна пятая из них считает, что действующие нормативные акты активно вредят и делают их организации менее защищенными.274Банки должны обеспечить наличие у себя эффективных руководящих структур и процессов управления рисками с целью идентификации, анализа, управления, отчетности и мониторинга рисков, связанных с использованием стимулирующих технологий, и появления новых бизнес-моделей и абитуриентов в банковской системе, вызванных разработками Финтех.
Эти структуры и процессы включают: надежные процессы стратегического и бизнес-планирования, позволяющие банкамадаптировать планы доходов и прибыльности с учетом потенциального воздействия новых технологий и участников рынка; разумные процессы утверждения нового продукта и управления изменениями для надлежащего учета изменений технологий и бизнес-процессов. процессы развития персонала, обеспечивающие надлежащую осведомленность и способность персонала банка управлять рисками, связанными с финансами. процессы управления рисками в соответствии с Принципами Базельского комитета поразумному управлению операционным риском263, которые имеют отношение к разработкам в области технологий. реализация Принципов Базельского комитета по разумному управлению операционнымриском с должным учетом развития технологий264; мониторинг и проверка соответствия применимым нормативным требованиям, в томчисле связанных с защитой прав потребителей, защитой данных и ПОД/ФТ при внедрении новыхпродуктов, услуг или каналов.Рост финтеха, вероятно, приведет к усилению конкуренции в отношении банков со стороны нетрадиционных игроков, что может повлиять на устойчивость доходов банков.
Данноеобстоятельство также заставляет банки улучшать цифровые интерфейсы, чтобы лучше соответствовать ожиданиям клиентов. Действующим банкам может быть все труднее быстро и конкурентно реагировать на появляющиеся технологии, чтобы сохранить контроль над отношениямис клиентами. Распространение финансовых инновационных продуктов и услуг может увеличитьоперационную сложность и риски.В то время как рост кибер-рисков был выявлен как банками, так и надзорными органамив качестве одной из основных угроз, основное внимание уделяется последствиям Финтех.
Развитие финансовых технологий может привести к усилению конкуренции между действующимибанками и нетрадиционными игроками в и без того сложной рыночной среде, что может повлиять263BCBS Principles for sound management of operational risk (PSMOR).BCBS published its Principles for the sound management of operational risk to provide guidance to banks on the management of operational risk. 2011.
[Электронный ресурс] – Режим доступа: www.bis.org/publ/bcbs195.htm (дата обращения: 09.08.2018).264275на устойчивость доходов банков. Они также могут оказать давление на банки с целью улучшенияцифровых интерфейсов для лучшего удовлетворения ожиданий клиентов. Действующим банкам,возможно, будет все труднее быстро и конкурентоспособно реагировать на возникающие технологии, с целью сохранения контроля над отношениями с клиентами. Распространение инновационных продуктов и услуг может повысить операционную сложность и риски.Характер и масштабы банковских рисков, в их традиционном понимании, могут существенно измениться с течением времени в результате все более широкого внедрения финтех вформе как новых технологий, так и бизнес-моделей.
Хотя эти изменения могут привести к новымрискам, они могут также открыть новые возможности для потребителей, банков, банковской системы и органов банковского надзора (Таблица 4.22)265.Для улучшения управления финансовыми инновационными рисками предлагаются следующие рекомендации: обеспечить надлежащий надзор за финансовыми инновациями, используя адекватныеинструменты, например, такие как «карта неопределенности Найта»; улучшить идентификацию и обработку адаптаций и «мутаций» финансовых инновацийдля оценки дополнительных инноваций, возникающих в результате изменений существующихпродуктов; разрешить пробную фазу для новых продуктов, чтобы обеспечить сбор данных для тестирования использования продукта и связанных с ним рисков; использование гибких лимитов для поощрения инноваций и обеспечения возможноститестирования новых идей при управлении совокупными рисками до тех пор, пока достаточныенаблюдения не позволят продолжить расширение; устранение проблемы нехватки исторических данных путем внесения прогнозных коррективов в параметры модели и проведения адекватного стресс-тестирования и сценарного анализа; проанализировать полезность гибких методологических подходов, таких как реальныеопционы и нечеткая (размытая) логика, для решения проблем, связанных со свойствами выборки(за пределами выборки) финансовых инноваций; совершенствование систем управленческой информации (СУИ)266 для более эффективного мониторинга финансовых инноваций.Перечислены новые возможности и риски для финансового рынка.
Традиционные банковские риски (такие какоперационные риски или риски ликвидности) рассматриваются только в той мере, в какой развитие финтех добавляет новое измерение или специфические особенности к существующим.266Management Information Systems (MIS).265276Таблица 4.22 – Перечень рисков и возможностей, связанных с финансовымиинновациями (технологиями)ВлияниеВлияние на потребительскийсектор-РискиКонфиденциальность данныхБезопасность данныхПрерывание банковских услугНеуместная практика-Влияние набанки и банковскую системуВозможностиФинансовая доступностьБолее качественные и индивидуальные банковскиеуслугиснижение операционныхиздержек и ускорение банковских услугУлучшенные и более эффективные банковские процессыинновационное использование данных в целях управления рискамиПоложительное влияние нафинансовую устойчивостьиз-за усиления конкуренцииРегтехСуптехРисктехСтратегические риски и рискидоходности- Кибер-риск- Повышение взаимосвязимежду финансовымисторонами- Операционный риск –системный- Операционный риск –идеосинкратический- Риск третьей стороны /поставщика- Риск комплаенс, включая неспособность защиты потребителей и данных- Отмывание денег - рискфинансирования терроризма- Риск ликвидности и волатильность источников банковскогофинансирования- Системный риск- Структурный риск- Риск концентрацииИсточник: составлено автором по материалам Банка международных расчетов.-Исходя из проведенного исследования категорий и элементов финансового инновационного риска, можно составить его профиль, который будет включать только значимые риски, возникающие при инновационном цикле финансовых инноваций (Таблица 4.23).Таблица 4.23 – Классификация финансового инновационного рискаНазваниеФинансовый инновационныйрискЗначимые рискиКредитный рискПод-рискиСтрановой рискРиск контрагентаРиск концентрацииРиск кредитного события277Продолжение таблицы 4.23Рыночный рискФинансовый инновационныйрискРиск ликвидностиФинтех рискиОперационный рискСтратегический рискСтруктурный рискСистемный рискВалютный рискПроцентный рискФондовый рискТоварный рискРиск балансовой ликвидностиРиск рыночной ликвидностиКибер-рискиИТ-рискиМошенничествоРиск персоналаТехнологический рискРепутационный рискПравовой рискКомплаенс рискМодельный рискСтратегический рискСтруктурный рискСистемный рискИсточник: составлено автором.Процесс моделирования оценки финансового инновационного риска можно разделить надва уровня: создание первичного индекса и вторичных индикаторов (показателей).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
