Разработка стратегии управления операционными рисками коммерческого банка «Западно-Уральский банка Сбербанка России»

Запрещается одно - принуждение к прохождению  полиграфных проверок, т.е. они должны проводиться с добровольного согласия обследуемого.

В г. Перми  в настоящее время проведением  обследования сотрудников компаний на полиграфе занимается несколько  компаний, в том числе – «Веритас», «Импульс», ООО «Алиби», где стоимость услуг сравнительно невысокая – 2500 руб. за одного тестируемого.

Проверки  на полиграфе могут быть применены  по трем направлениям первое - это скрининговые проверки (от англ. «screen» - просеивать, проверять на благонадежность) на полиграфа нанимаемого на службу персонала; второе - периодические и/или выборочные проверки на полиграфе работающего персонала, и третье - в ходе служебных разбирательств.

Осуществляя приём служащих на работу традиционным путем, банки отмечают, что многие факты из жизни кандидата на работу не могут быть вскрыты ни путем  опроса его бывших работодателей, ни проверками по учетам, ни во время проводимого  собеседования. Единственный человек, кто знает о кандидате всё - это он сам. Поэтому многие частные  компании, например, считают проверки на полиграфе одним из главных  методов проверки нанимаемого на работу и работающего персонала.

В целом, по оценкам американских специалистов, используя полиграф, работодатель, как минимум, на 25% повышает вероятность  того, что принятые на работу сотрудники окажутся честными людьми.

На первом этапе, при приеме на работу, использование  полиграфа дает возможность выявления  людей, у которых мотивы поступления  не соответствуют интересам банка.

Принятый  на работу сотрудник может быть завербован криминальными структурами разными  способами, в том числе и путем  реальных угроз ему или близким  родственникам. Поэтому необходима повторная периодическая проверка лиц, занимающих ключевые посты в  банке и имеющих доступ к закрытой служебной информации. Правильно  и своевременно организованная проверка персонала, если и не исключит полностью  возможности хищения, то сведет ее к  минимуму.

Например, при проверке персонала, принимаемого на работу в банк, могут быть использованы вопросы:

«Вы получили от кого-либо поручение собирать информацию о банке?»

«У Вас  есть скрытые причины, по которым  Вы хотите работать в банке?»

«Вы сознательно  исказили какие-нибудь данные своей  биографии?»

«Вы когда-либо совершали преступления, оставшиеся нераскрытыми?».

При полиграфической  проверке работающего персонала  могут представлять интерес такие  вопросы, как: «Вы когда-либо получали деньги за передачу конфиденциальной информации банка?», «Криминальные  структуры получали от Вас служебную  информацию?».

Непосредственно перед проведением каждого из тестов полиграфолог обсуждает с проверяемым содержащиеся в этом тесте вопросы, при необходимости редактирует их и только после этого включает прибор и выполняет тест. Поскольку скрининговые проверки выполняются по единой программе, выбор тестов для проверки на полиграфе определенного контингента лиц и формулирование для них вопросов осуществляется, как правило, один раз.

Вторым  этапом скрининговой проверки является предтестовая беседа, в завершение которой осуществляется корректировка вопросов тестов с учетом индивидуальных особенностей опрашиваемого. Этот этап, а также анализ полиграмм и интерпретация результатов тестов являются строго обязательными для любой скрининговой проверки. Однако, из-за того, что перечень факторов риска, выносимых на проверку с помощью полиграфа, постоянен, технология их оценки неизменна и существенно упрощается. Следующий этап - послетестовая беседа - в скрининговых проверках проводится по выявленным факторам риска по предварительно согласованным с банком плану.

3. Сбои информационной системы  и отказ оборудования

Одной из причин перерыва в работе информационной системы может быть повреждение системы кабелей. Для  того, чтобы установить причину и место повреждения кабеля применяют специальные устройства - сканеры сетевого кабеля.

На рынке сетевых сканеров в  настоящее время предлагается много  устройств, различных по своим техническим  характеристикам, точности измерений  и цене. Среди них сканер Fuke 650 LAN CableMeter компании John Fuke Manufacturing, семейство сканеров фирмы Microtest, тестеры LANTech 10 корпорации Wavetek. WireScope 16 фирмы Scope Communications Inc., а также сканеры фирмы Datacom.

Кроме того, их можно применять  и для тестирования оптоволоконных сетевых кабелей.

Даже при кратковременном отключение электроэнергии возможны убытки связанные с потерей информации. Данную проблему можно решить, установив источники бесперебойного питания. На российском рынке наибольшее распространение получили источники бесперебойного питания фирмы American Power Conversion (APC). Такие мощные модели, как Smart – UPS2000 фирмы APC, поддерживают работу персональных компьютеров в течение 3-4 часов после отключения электропитания.

В зарубежной практике применяются  линии электропитания, подключённые к разным подстанциям. Если выходит из строя одна, то электричество подается с другой (резервной).

В настоящее время для восстановления данных при сбоях магнитных дисков применяются либо дублирующие друг друга зеркальные диски, либо системы  дисковых массивов – Redundant Arrays of Inexpensive Disks (RAID).

Дисковые массивы можно реализовывать  как во внутреннем, так и во внешнем  исполнениях – в корпусе сервера ЛВС или на специальном шасси. В их производстве сегодня лидируют фирмы Micropolis, DynaTek.

Важнейшей задачей обеспечения  сохранности информации является  наличие надёжной и эффективной системы архивации данных. Если локальная сеть имеет значительные размеры, то имеет смысл использовать специализированный архивационный сервер. Одной из наиболее эффективных аппаратных систем такого рода является семейство архивационных серверов StorageExpress фирмы Intel.

4. Взлом информационной системы  и заражение вирусом

Надежным решением организации  доступа в конкретное помещение  либо конкретный персональный компьютер  может являться система различных  идентификационных карточек. В отличие  от системы паролей, задаваемых пользователями, которые можно потерять, подсмотреть  либо узнать с помощью различных  методов добывания информации, карточки обладают куда большей надежностью.

Пластиковые карточки с магнитной полосой достаточно легко можно подделать, поэтому их не стоит использовать для этих целей. Микропроцессорные карточки. Это связано, в первую очередь с невозможностью их подделки или копирования кустарным способом. Кроме того, при производстве карточек в каждую микросхему заносится уникальный код, который невозможно продублировать. Для использования карточки необходимо знать пароли, выданные совместно с самой карточкой. При попытке несанкционированного использования некоторые виды карточек автоматически блокируются, и можно привести их в работоспособное состояние лишь передав на техническое обслуживание в отдел безопасности.

Для предотвращения ознакомления с  компьютерной информацией лиц, не имеющих к ней доступа, чаще всего используется шифрование данных при помощи определённых ключей и методов шифрования.

Наиболее важные характеристики популярных в настоящее время и активно используемых стандартов шифрования приведены в таблице:

Таблица 2.6 Характеристики наиболее распространённых методов шифрования

Алгоритм	DES	ГОСТ 28147-89	RSA
Длина ключа	56 бит	256 бит	300-600 бит
Скорость шифрования	10-200 Кбайт/с	50-70 Кбайт/c	300-500 бит/c
Криптостойкость операций	1017	1017	1023
Реализация	Программная и аппаратная	В основном аппаратная	Программная и аппаратная

 

Применение одних лишь технических  решений для организации надёжной и безопасной работы сложных сетей  явно недостаточно. Требуется комплексный  подход, включающий как перечень стандартных  мер по обеспечению безопасности и срочному восстановлению данных при  сбоях системы, так и специальные  планы действий в нештатных ситуациях

К мероприятиям по предотвращению операционных рисков также можно отнести:

1. Чёткое разделение персонала  головного офиса и отделений  ЗУБ Сбербанка РФ с выделением  помещений или расположением  подразделений компактными группами  на некотором удалении друг  от друга.

2. Ограничение доступа в помещения  посторонних лиц или сотрудников  других подразделений. Совершенно  необходимо запирать и опечатывать  помещения при сдаче их под  охрану после окончания работы.

3. Жёсткое ограничение круга  лиц, имеющих доступ к каждому  компьютеру.

4. Требование от сотрудников  в перерывах выключать компьютер  или использовать специальные  программы – хранители экранов,  которые позволяют стереть информацию  с экрана монитора и закрыть  паролем возможность снятия режима  хранителя экрана.

5. Поскольку  в анализируемом банке отмечается  высокая вероятность нелегального  входа в систему, необходимо  потребовать, чтобы пользователи  выбирали длинные пароли (например, не менее восьми символов), задействовать  программу генерации паролей. 

Важным  обстоятельством является совместимость  нового средства со сложившейся организационной  и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный  характер, что может отрицательно сказаться на энтузиазме сотрудников. Поэтому предварительно необходимо провести работу с сотрудниками банка (собрания в отделениях, отделах).

Использование Автоматизированной системы управления операционным риском.

Автоматизированные  системы управления операционным риском наиболее активно используются в  финансовом секторе экономики, прежде всего в банковской и страховой  деятельности, поскольку уровень  зрелости управления рисками здесь  выше, чем в реальном секторе.

Система позволяет управлять операционными  рисками банка: от сбора данных до предоставления отчетности и построения прогнозов. Расчеты производятся на основе моделей и методов статистического  и экономического анализа.

Система управления операционным риском позволяет  банку решать такие бизнес-задачи, как:

- выявление  и наглядная демонстрация «слабых  мест» в бизнес-процессах;

- построение  эффективной организационной структуры;

- прогнозирование  возможного ущерба и расчет  капитала, необходимого для покрытия  ущерба;

- планирование  мероприятий, позволяющих оптимизировать  работу банка, снизить расходы  и обеспечить устойчивое развитие  бизнеса.

Системы управления операционным риском поддерживают стандарты Basel II и, как правило, реализуют следующие функции:

- сбор  данных о фактически понесенных  потерях, вызванных влиянием операционного  риска;

- мониторинг  неблагоприятных событий операционного  характера и вызванных ими  потерь;

- генерация  отчетов, анализ и визуализация  накопленной статистики;

- проведение  опросов экспертов с целью  оценки влияния факторов операционного  риска на бизнес-процессы предприятия  и построение на полученных  данных карты рисков;

- расчет  оценки требований на капитал  для покрытия возможных потерь  от операционных рисков;

- расчет  стоимостной меры риска (VaR);

- планирование  деятельности по предотвращению  потерь от реализации операционных  рисков.

2.3 Оперативный контроль над снижением операционных рисков коммерческого банка

 

Если  уровень риска по какой причине не удается минимизировать, руководство банка может принять решение о его ограничения. Ограничение риска или его снижения до допустимого уровня достигается ограничением объемов операций, в связи с которыми возникает риск, и (или) сокращением периода времени, в течение которого банк подвергается соответствующий риск. Ограничения объемов операций обеспечивает уменьшение возможных потерь, а сокращение рискового периода позволяет снизить вероятность наступления негативного события.

Одной из важных составляющих системы контроля за банковскими рисками является внутренний управленческий контроль. Задача его сводятся к четкому определению и разграничению должностных полномочий, обеспечения двойного контроля, ротации кадров, организации контроля за отдельными операциями непосредственно на рабочих местах, создание совершенных систем передачи и хранения информации. И хотя не существует такой системы внутреннего контроля, которая смогла бы предотвратить служебным злоупотреблениям, но правильно организованный механизм контроля существенно снижает уровень операционных рисков.