Организация риск- менеджмента в банке

Управлением рисками должно заниматься отдельное подразделение, поскольку  каждый банк сталкивается со множеством взаимосвязанных рисков, требующих  постоянной оценки, контроля и управления. Задача департамента риск- менеджмента - стратегическое управление рисками и оперативное управление или координация действий профильных отделов. Это позволяет получать синергетический эффект и оперативно принимать правильные решения. С сожалением приходится констатировать, что успехи большинства банков на этом поприще пока весьма скромны, а системный подход чаще всего отсутствует.

При всем многообразии подходов и  методов организации систем риск- менеджмента российская банковская система, возможно, в скором времени перейдет к нормам, зафиксированным в соглашении "Базель II". В сущности, это важнейший документ, определяющий различные варианты расчета кредитного, рыночного и операционного рисков, методов управления этими рисками и расчета достаточности капитала. Независимо от того, каким образом будут внедряться эти принципы в России (путем перехода банков по эшелонам, применения редуцированного варианта и смягченных требований или радикального полного перехода), рано или поздно это произойдет - банки самостоятельно придут к системе риск- менеджмента, построенной по принципам, аналогичным изложенным в "Базеле II".

Развитие современной банковской системы во многом обусловлено векторами  развития мировой банковской сферы. В ноябре 2005 года Базельский комитет по банковскому надзору (БКБН) выпустил полностью обновленный документ «Международная Конвергенция принципов измерения капитала и стандартов капитала» (International Convergence of Capital Measurement and Capital Standards: a Revised Framework) – «Базель II».

По сравнению с первым Базельским Соглашением, новое Соглашение, кроме  вводных положений, теперь состоит  из трех частей (Pillars):

• Компонент 1: определяются требования к достаточности капитала и возможные подходы к управлению рисками, при этом в расчет достаточности капитала включена оценка величины операционного риска и принципов ее исчисления;
• Компонент 2: описываются особенности организации банковского надзора за достаточностью капитала;
• Компонент 3: устанавливаются основные направления рыночной дисциплины, определяются пути реализации принципа транспарентности и раскрытия информации о принимаемых банками рисках, об управлении ими и о достаточности капитала.

Базель II вводит такие принципы оценки кредитных рисков, которые позволяют максимизировать точность экономической оценки банками степени реальных рисков, свойственных тому или иному виду активов. При этом Соглашение предоставляет выбор при определении размера кредитного риска между двумя базовыми подходами:

• стандартизированным подходом (Standardized Approach) – на основе оценок независимых рейтинговых агентств или надзорных органов,
• подхода, основанного на внутренних рейтингах (Internal Rating-Based Approach).

Базель II официально вступил в силу в декабре 2006 года. В Европе, согласно директиве ЕС, соглашение уже действует, но в пробном режиме. В США реализация была запланирована на январь 2009 года.

В России, согласно сделанному в июне-июле 2004 года заявлению Банка России, будут реализовываться наиболее простые подходы, предусмотренные новым Базельским Соглашением:

• В 2008 году в рамках Компонента 1 предлагалось внедрить Упрощенный стандартизированный подход (Simplified Standardised Approach) в отношении кредитного риска и Базовый индикативный подход (Basic Indicator Approach) в отношении операционного риска; 
  а в  2009 году предполагалось внедрить Компоненты 2 и 3 Базеля II.

Внедрение Basel II в российских кредитных организациях заставит банки эффективнее управлять своими рисками, что приведет к повышению эффективности системы информационной безопасности. Однако требования Basel II предназначены в основном для крупных банков, поскольку малым банкам не понести столь значительные инвестиции на его внедрение и расходы на его поддержание.

Одним из главных препятствий к  переходу на Basel II для российских банков является отсутствие комплексной системы управления рисками. Выполнить требования Basel II смогут далеко не все кредитные организации. По данным аналитического центра InfoWatch в 2009 году их количество вряд ли превысит 10-15 банков.

Однако в январе 2006 года Банк России выпустил стандарт по IT-безопасности (СТО  БР ИББС-1.0-2006), представляющийся разумной альтернативой для банков, которым  не нужен выход на международные  рынки. Стандарт является настоящим  прорывом в решении проблемы IT-безопасности. Он не только объединяет в себе основные положения стандартов по управлению IT -безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки IT -безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3), но и отражает технологии оценки угроз и уязвимостей, подход к управлению рисками OCTAVE и некоторые положения британской методологии оценки информационных рисков CRAMM.

Стандарт Банка России, прежде всего, направлен на формирование уровня информационной безопасности, достаточного для противостояния угрозам системного кризиса и обеспечения эффективности ликвидации последствий отдельных инцидентов и их влияния на операционные, кредитные и иные риски. Если говорить о конкретных положениях Стандарта, то он, прежде всего, ориентируется на решение проблемы инсайдеров – внутренних злоумышленников, для чего Банк России требует обеспечить контроль над обращением конфиденциальной информации внутри корпоративной среды. Однако в зоне контроля остаются и внешние угрозы: стандарт требует от банков наличия антивирусной защиты, фильтрации спама и использования шифрования для защиты от несанкционированного доступа. Стандарт выдвигает требования организационного и технического характера для минимизации рисков утечки данных и обеспечения расследования инцидентов. Выбор же конкретных мер, методов и средств обеспечения информационной безопасности остается за собственником. Стандарт Банка России сегодня носит рекомендательный характер, его положения могут применяться только на добровольной основе. В Стандарте Банка России реализован «процессный подход» к обеспечению информационной безопасности кредитных организаций и формированию системы управления информационной безопасностью на базе модели Деминга – модели непрерывного циклического менеджмента информационной безопасности. «Процессная» ориентация модели организации системы управления информационной безопасностью обусловлена тем, что предполагается, что главной целью злоумышленника является получение контроля над активами на уровне бизнес-процессов.

Данная модель соответствует требованиям  раздела 4 международного стандарта ISO/IEC IS 27001. Модель включает несколько стадий управления информационной безопасности, которые заключены в цикл:

• Планирование: установление политики информационной безопасности, целей и задач
• Реализация: внедрение и поддержка политики информационной безопасности
• Проверка: оценка и измерение эффективности процессов управления информационной безопасностью
• Совершенствование: выработка и принятие корректирующих и превентивных мер, до достижения непрерывного усовершенствования системы управления.

В политике информационной безопасности, при ее реализации, должны быть отображены ее цели и задачи, а также определены совокупность правил, требований и  принципов в области информационной безопасности, сложившихся в организации. При этом стандартом рекомендуется сформулировать требования как минимум для следующих областей:

• Назначения и распределения ролей и доверия к персоналу: формирование ролей на основе бизнес-процессов организации и ее целей, проверка персонала в части профессиональных навыков и оценка профессиональной пригодности и компетенции;
• Стадий жизненного цикла автоматизированных систем безопасности (АБС): обеспечение информационной безопасности должно осуществляться на всех стадиях с учетов всех вовлеченных в процесс разработки сторон;
• Защиты от несанкционированного доступа, управления доступом и регистрацией в АБС: на основании принципов «знание своих клиентов и служащих» и «двойное управление»;
• Антивирусной защиты: установка и регулярное обновление средств антивирусной защиты;
• Использования ресурсов Интернет: исключительно для ведения дистанционного банковского обслуживания (Internet-Banking), получения и распространения информации касательно банковской деятельности (создание информационных веб-сайтов), информационно-аналитической работы в интересах организации, обмен почтовыми сообщениями с внешними организации и для ведения собственной хозяйственной деятельности;
• Использования средств криптографической защиты информации;
• Защиты банковских платежных и информационных технологических процессов с соблюдением требований авторизации и контроля целостности информации.

Для успешного функционирования системы  управление информационной безопасностью  Стандарт рекомендует реализовать следующие процессы:

• Определение/уточнение области действия системы управления и выбор подхода к оценке рисков информационной безопасности на основе оценки операционных, репутационных и правовых рисков;
• Анализ и оценка рисков информационной безопасности, варианты обработки рисков для наиболее критичных информационных активов и бизнес-процессов;
• Определение/уточнение политики информационной безопасности;
• Выбор/уточнение целей информационной безопасности и защитных мер и их обоснование для минимизации рисков.

По данным исследования аналитического центра InfoWatch и сообщества ABISS (Association for Banking Information Security Standards), 81% российских банков понимают, что повышение прозрачности взаимодействия контрагентов, на которое  направлен стандарт, будет положительно влиять на стабильность бизнеса и его рыночной стоимости. 16% банков готовы по собственной инициативе внедрить Стандарт Банка России.

19% опрошенных банков работают  за пределами России, и для  них важным моментом представляется учет международных требований, в том числе к способам защиты данных, путем для реализации которых может быть внедрение данного Стандарта.

Банковская система в России, по сравнению с развитыми странами, еще очень слаба. Кроме того, есть еще недоверие населения к банкам, что может быть решено посредством внедрения Стандарта, которые повлияет на компетенцию и деловую состоятельность банков.

Хотя Стандарт и носит рекомендательный характер, его внедрение является необходимым элементом, вследствие создания «электронного правительства» для обеспечения прозрачности деятельности государственных органов, в том числе и ЦБ РФ, а также унифицированной подсистемы информационной безопасности в банковской отрасли с целью достижения прозрачности механизмов принятия решений на всех уровнях банковской системы.

Пик внедрения Стандарта происходил в 2007-2009 годах. О своем желании  осуществить данный процесс заявили 71% опрошенных банков. 15% банков заявили, что не собираются участвовать в  данном процессе. Однако их число заметно сократилось после проведения Президентских выборов как фактора опасения возможной смены «правил игры».

Среди основных препятствий  на пути внедрения стандартов банки  называют:

• Отсутствие информации (49%);
• Бюджетные ограничения (40%);
• Отсутствие реальных экономических стимулов (31%);
• Нежелание/непонимание высшего руководства (30%).

Однако первое ограничение уже  в некотором роде преодолено. Вскоре после окончания исследования на сайте ABISS были опубликованы методические рекомендации по внутренней документации банков (РС БР ИББС-2.0-2007) и самооценке ими системы информационной безопасности (РС БР ИББС-2.1-2007).

Внедрение стандарта, казалось бы, в  большей степени должно определяться желанием банков избежать дополнительных проверок со стороны ЦБ. Однако Стандарт может стать для банков и маркетинговым инструментом, а для крупных кредитных учреждений – переходным этапом присоединения к Basel II.

Негативной чертой системы информационной безопасности сегодня все еще  является ее концентрация на формальной защите определенных объектов, причем защита чаще всего начинает осуществляться после реализации угроз в виде инцидентов. По данным аналитического центра InfoWatch в 2006 году 44% банков-респондентов допустили хотя бы одну утечку конфиденциальной информации, 22% банков – более 5 таких утечек. И большинство (75%) банков заявило о их недовольстве эффективностью существующей системы управления операционными рисками, что остается основной проблемой российских банков.

Однако уже наметился переход  к «управлению безопасностью», т.е. к комплексному обеспечению устойчивости и надежности функционирования банка с учетом всех возможных элементов. Ведущие мировые компании, в т.ч. и кредитные организации, делают упор на превентивные меры защиты, анализ рисков, управление информационной безопасностью, в частности на построение обеспечения непрерывности деятельности (disaster recovery) и управление инцидентами (incident management), которые позволяет спрогнозировать реакцию на инциденты и определить пути их предотвращения. Именно такой подход лежит в основе Стандарта Банка России, эффективность которого все больше и больше признается российскими банками.

Возможно, банкам стоит всерьез  задуматься о скором внедрении Стандарта  Банка России, ведь, по мнению участников рынка, повышенная активность ЦБ РФ в разработке разнообразных рекомендательных документов свидетельствует о том, что скоро они станут обязательными. Особенно если обратиться внимание на тот пункт рекомендаций ЦБ по информационной безопасности, что все они применяются на добровольной основе, если иное не установлено, в частности, нормативным правовым актом ЦБ РФ.