Содержание к диссертации
Введение
Глава 1. Информационный риск и его влияние на деятельность кредитной организации 10
1.1 Управление рисками как одна из центральных задач финансового менеджмента в банке 10
1.2. Анализ классификаций банковских рисков 23
1.3. Информационный риск в современном банковском деле 36
Выводы по первой главе 50
Глава 2. Разработка метода оценки и управления информационным риском 52
2.1 Исследование информационного риска 52
2.2 Анализ и выбор метода оценки и управления информационным риском 65
2.3 Обратные вычисления в управление рисками 84
Выводы по второй главе 96
Глава 3. Использование метода обратных вычислений для оценки и управления информационным риском 98
3.1. Задача по управлению риском и прибылью от использования технологии Клиент-банк на основе прямых расчетов 98
3.2 Увеличение прибыли от использования технологии Клиент-банк с помощью метода обратных вычислений 110
3.3 Формирование альтернативных решений задачи 126
Выводы по третьей главе 132
Заключение 133
Список литературы 135
Приложение 142
- Анализ классификаций банковских рисков
- Информационный риск в современном банковском деле
- Анализ и выбор метода оценки и управления информационным риском
- Увеличение прибыли от использования технологии Клиент-банк с помощью метода обратных вычислений
Введение к работе
Актуальность темы исследования. Успешное экономическое развитие государства, основанного на рыночных принципах хозяйствования, невозможно без хорошо развитой банковской системы. Последняя обеспечивает бесперебойные и своевременные расчеты между участниками рынка как внутри страны, так и за ее пределами; аккумулирование свободных денежных средств и их перераспределение в виде кредитного ресурса. На современное состояние банковской системы Российской Федерации оказывают влияние две группы факторов. Первая группа связана с экономической и политической ситуацией внутри страны. Ее влияние находит свое отражение в таких актуальных для банковской системы факторах, как - снижение инфляции, либерализация налогового и валютного законодательства, уменьшение числа спекулятивных операций и усиление конкуренции на рынке банковских услуг. Вторую группу определяют изменения, которые претерпевает мировая банковская система. Эти изменения являются следствием глубинных макроэкономических процессов в мировой экономике (интеграция, либерализация, резкий научно-технический подъем) и затрагивают все банки в разных странах мира, независимо от уровня их развития и существующей в той или иной стране организационной структуры банковской системы.
Сегодня наблюдаются следующие глобальные тенденции развития мировой банковской системы:
• увеличение числа услуг, оказываемых кредитными организациями;
• увеличение стоимости финансовых ресурсов;
• консолидация и географическая экспансия кредитных организаций;
• усиление влияния на развитие банковской системы современной НТР, одной из основных особенностей которой является стремительное развитие компьютерных и телекоммуникационных средств, что обеспечило появление новых банковских информационных технологий, принципиально невозможных ранее.
Развитие средств коммуникации, сокращение времени обработки информации, развитие сетевых технологий позволили кредитным организациям провести комплексную автоматизацию всей своей деятельности, разработать механизмы удаленного обслуживания клиентов и предложить новый ассортимент услуг. Широкое распространение средств автоматизации привело к изменению инструментов реализации банковских технологий. В настоящее время невозможно представить себе банк, не использующий информационные системы, как и невозможно представить рабочее место сотрудника банка, не оснащенное современными средствами вычислительной техники.
За относительно короткий промежуток времени роль информационных технологий, изначально предназначенных для замены рутинного труда рядовых сотрудников банка, сильно изменилась. Теперь ни одна банковская операция не происходит без участия информационных систем, причем особенности ее проведения напрямую зависят от возможностей используемой системы. Неудивительно, что информационные системы стали оказывать существенное влияние на прибыльность кредитных организаций, их конкурентоспособность и привлекательность для клиентов.
Однако, кроме положительного влияния, оказываемого информационными технологиями на деятельность кредитных организаций, нельзя не отметить и негативные последствия их использования. Так например, информационные системы стали источником серьезных финансовых потерь в случае их отказов. Следствием этих потерь может быть как частичная, так и полная потеря банком возможности выполнять свои функции.
Возросшая зависимость нормальной работы банка от устойчивого функционирования информационных систем привела к появлению принципиально нового для банка вида риска - информационного, который можно определить как вероятность возникновения ущерба от использования современных компьютерных информационных технологий при совершении банковских операций. Новизна данного вида банковского риска заключается в том, что впервые технологии, обеспечивающие проведение банковских операций, стали определять
способы предоставления банковских услуг, что в свою очередь привело к зависимости
успешного оказания услуг клиентам от бесперебойного функционирования информационных
систем.
Нельзя сказать, что риски, связанные с использованием информационных технологий не анализировались банками ранее. Однако анализ методов управления ими показывает, что все они были направлены на защиту информационных систем и хранящейся в них информации от различного вида угроз, чего явно не достаточно для управления информационным риском.
Необходима разработка новых методов управления информационным риском, основанных на положении о том, что информационные системы являются источниками угроз для деятельности кредитных организаций. Это позволило бы оценить убытки, которые могут понести банки от информационного риска и разработать методы для управления им.
Целью диссертационного исследования первого уровня является разработка метода оценки и управления информационным риском. Целями второго уровня являются: введение понятия информационного риска, определение его места в классификации банковских рисков, выявление причин появления и выделение основных составляющих риска.
Для достижения целей диссертационного исследования были поставлены и решены следующие задачи:
• исследовано влияние банковских рисков, и, в частности, риска, возникающего при использовании информационных систем, на деятельность кредитных организаций;
• обоснована важность контроля за риском, возникающим при использовании информационных систем;
• обоснована необходимость нового понимания проблемы риска, возникающего при использовании информационных систем;
• сформулировано понятие информационного риска;
• проведен анализ используемых кредитными организациями информационных
систем и на основе его результатов предложены способы декомпозиции информационного риска;
• построено дерево информационного риска на основе предложенных принципов декомпозиции и принципов построения дерева целей;
• проведен анализ особенностей решения задачи по управлению информационным риском, результатом которого стало отнесение ее к типу задач, решение которых предполагает наличие альтернатив;
• обосновано использование метода обратных вычислений для решения задачи по управлению информационным риском;
• решена задача управления риском и доходом от использования технологии клиент-банк для конкретной ситуации;
• разработано программное обеспечение для решения задачи.
Объектом исследования явились информационные системы, используемые кредитными организациями.
Предметом исследования являлся процесс управления информационным риском.
Метод исследования. В качестве метода научного исследования использовались: факторный, компонентный и К-ступенчатый ситуационный анализ; метод обратных вычислений; методы теории вероятности и математической статистики.
Источники информации. В процессе исследования использовались работы отечественных и зарубежных экономистов, специалистов в области экономики, управления, банковского дела, риск-менеджмента, информационных систем, систем поддержки принятия решений, теории вероятности, а также аналитические статьи, посвященные вопросам применения современных информационных технологий в финансовой сфере.
Особое внимание было уделено последним результатам исследований в этих областях, проведенных: У. Гулдом, В.В. Диком, Е. Екушевым, О.И. Лаврушиным, Б.А.
Лагоши, К. Маркеловым, А. Ореховым, БЕ. Одинцовым, М.А. Роговым, ПС. Роузом, ВТ.
Севрук, Н.Э. Соколинской, В. Чаусовым, Е.Б. Ширинской и др.
Научная новизна. Научная новизна диссертации заключается в следующем:
• было введено положение о том, что банковские информационные системы (БИС) являются источником угроз для деятельности кредитных организаций, что использовалось при разработке метода управления информационным риском. Данное положение представляет собой альтернативу существующему положению, которое предлагает рассматривать БИС только как объект, требующий защиты от угроз. Анализ методов управления рисками, разработанных с учетом этого положения, показывает, что основной их целью является защита систем и хранящейся в них информации. Метод, разработанный с учетом выдвинутого автором положения, позволит учитывать возможные убытки, которые может понести банк, при использовании информационных систем и снизить возможный ущерб;
• сделан вывод о том, что ни одна из известных классификаций банковских рисков не включает такой вид риска как информационный. Схожие с ним определения сводили ущерб лишь к незапланированным затратам на ремонт оборудования или к потерям из-за несанкционированного доступа к секретной информации. Поэтому было предложено новое определение информационного риска как вероятности возникновения ущерба от использования современных компьютерных информационных технологий при совершении банковских операций;
• предложены два принципа декомпозиции информационного риска, которые основаны на следующих заключениях: информационный риск возникает при использовании БИС; БИС является сложной системой, которую можно разложить на простые элементы. В качестве такого элемента может выступать банковская операция, которая в дальнейшем рассматривается как технологический процесс. Риск декомпозируется по составу элементов информационной технологии. В результате декомпозиции выделяются пять основных
составляющих информационного риска: программный, технический, технологический,
исполнительский и риск информации. Альтернативный принцип декомпозиции вводится с
целью построения системы управления финансовыми ресурсами, направляемыми на
уменьшение возможного ущерба. Риск декомпозируется в соответствии со структурой
управления банка. При этом риски, выделенные при первом варианте декомпозиции не
нивелируются, а учитываются при определении причин возникновения рисковых ситуаций;
• обосновано использование метода обратных вычислений для управления информационным риском, состоящим из ряда независимых рисков, представленных в виде разработанного автором дерева рисков. Метод позволяет в зависимости от цели, заданной в форме относительного изменения значения риска, найти требуемые значения аргументов с учетом предпочтений J11 IP. Данный метод позволяет соотносить затраты на проведение в жизнь мероприятий, направленных на снижение информационного риска, с размерами возможного ущерба;
• адаптирован метод обратных вычислений для решения класса стохастических задач, в частности, задачи управления информационным риском.
Практическая значимость диссертационной работы заключается в следующем:
• разработанный метод обратных вычислений для решения стохастических задач позволяет связывать показатели информационного риска с экономическими показателями, характеризующими размер ущерба, что дает возможность оценивать убытки, понесенные банком от информационного риска;
• результаты, полученные в процессе исследования, позволяют банкам проводить декомпозицию информационного риска в соответствии со сложившейся у них внутренней структурой управления и спецификой используемых информационных технологий, что позволяет адаптировать разработанный автором метод управления риском под любую кредитную организацию;
• в соответствии с проведенной декомпозицией информационного риска
организация получает возможность решать задачи управления рисками на любых уровнях управления;
• метод позволяет оценивать и управлять затратами, направляемыми на снижение уровня информационного риска, что приведет к повышению эффективности банковской деятельности.
Выводы, полученные в ходе исследования, могут быть использованы при обучении специалистов в области банковского дела, информационного и риск менеджмента. Положения и материалы исследования используются в учебном процессе МЭСИ.
Метод предложенный автором используется КБ «Фондсервисбанк» и Тюменским филиалом Ханты-Мансийского банка при составлении годовых смет для определения объема затрат, направляемых на различные области деятельности отдела автоматизации, что позволяет снизить вероятность возникновения информационного риска.
Публикации. Материалы и результаты исследований опубликованы в 6 научных статьях, общим объемом 1.8 п.л.
Структура работы. Диссертация состоит из введения, трех глав, выводов по главам, заключения, списка литературы и двух приложений.
Анализ классификаций банковских рисков
В процессе своей деятельности, организации вообще, и банки в частности сталкиваются с совокупностью различных видов рисков, которые отличаются друг от друга местом, временем, причиной возникновения, что влияет на выбор метода управления ими.
Очевидно, что различие точек зрения и степени детализации ведет к использованию сколь угодно большого количества видов рисков. Классифицировать риски трудно также вследствие их тесной взаимосвязи и взаимозамещения. Классификация рисков напрямую зависит от точки зрения и в той или иной степени отражает сложившееся в обществе восприятие риска, что может привести к переходу риска из одного вида в другой.
К настоящему времени предложены следующие принципы классификации рисков: классификация рисков должна соответствовать конкретным целям. Признаки, по которым осуществляется разбиение рисков на группы, должны удовлетворять критериям, связанным с целями классификации. Такими целями могут быть формирование номенклатуры страховых услуг, изучение природы рисков, юридическая защита от последствий и т.д.; классификация должна проводиться с позиций системного подхода. Иерархическая структура классифицируемых рисков должна отражать системные взаимосвязи наблюдаемых явлений, в частности в одну группу не должны объединяться риски разных уровней рассмотрения; рискованные ситуации для рисков одной группы должны иметь детализацию одного порядка и отвечать целям классификации; одна и та же рискованная ситуация может содержать различные риски.
Так в частности, в соответствии с приведенными выше правилами риски можно классифицировать по следующим основаниям: по связи с другими рисками: некоррелированный - коррелированный, замещаемый - незамещаемый; простой - сложный (из нескольких рисков); по оценке масштабов последствий: катастрофический, критический, значительный, умеренный, незначительный, малый; по возможностям управления: явный, скрытый, измеримый, прогнозируемый, непредсказуемый, передаваемый, непередаваемый, управляемый, неуправляемый, прямой, косвенный; по источнику риска: систематический, индивидуальный; по экономическим последствиям: риск банкротства, потери капитала, потери дохода, упущенной прибыли, не эффективных инвестиций.
Также можно встретить классификации рисков по: времени возникновения (ретроспективные, текущие и перспективные); причинам возникновения (политические и экономические); характеру учета (внешние и внутренние); сферам возникновения (производственные, коммерческие и финансовые). Интересно обратить внимание на различие в подходах к классификации банковских рисков у отечественных и зарубежных авторов, что связано, в первую очередь, с различиями в восприятии риска обществом.
Так, например американский ученый П. Роуз[60] выделяет следующие виды рисков: кредитный риск - вероятность того, что стоимость части активов банка, в особенности кредитов, уменьшится или сведется к нулю; риск несбалансированной ликвидности - риск недостаточности наличных и привлеченных средств для того, чтобы обеспечить возврат депозитов, выдачу кредитов и т.д.; рыночный риск - риск неустойчивости процентных ставок, особенно на обращающиеся на рынке ценные бумаги; процентный риск - влияние движения процентных ставок на маржу банковской прибыли; риск недополучения прибыли - риск уменьшения чистой прибыли банка; риск неплатежеспособности - риск банкротства.
Кроме вышеперечисленных рисков, Роуз указывает, что банк в процессе своей деятельности может также столкнуться и со следующими рисками: инфляционный риск - вероятность того, что повышение цен на товары и услуги сведет к нулю покупательную способность прибыли банка и его выплат акционерам; валютный, или курсовой, риск - вероятность того, что изменение курсов иностранных валют приведет к появлению у банка убытков вследствие изменения рыночной стоимости его активов или пассивов; политический риск - вероятность того, что изменение законодательных или регулирующих актов внутри страны или за ее пределами окажет негативное воздействие на прибыль, операции и перспективы банка; риск злоупотреблений - возможность того, что владельцы банка, его служащие или клиенты нарушат закон, а это повлечет за собой убытки для банка вследствие мошенничества, растраты, кражи или других незаконных действий.
Как можно заметить, в данной классификации на первое место выходят риски, непосредственно связанные с проводимыми банком операциями.
Если же посмотреть классификации, приводимые отечественными авторами, то здесь в первую очередь обращается внимание на макрориски, непосредственно не связанные с банковскими операциями. Так, например Д. Шаплыко[89] во главу угла ставит следующие риски, влияющие на конкурентную устойчивость банка и его надежность для клиентов: политический - риск реставрации политической системы, не опирающейся на общепринятые законы развития рыночной экономики; экономический - риск отходов от законов рыночной экономики; финансовый - риск незапланированных убытков; экологический - риск загрязнения окружающей среды; психологический - риск того, что люди перестанут доверять государству, как гаранту защиты их прав и интересов; социальный - риск разрешения конфликтов, в формах мешающих социально экономическому развитию страны.
В отечественной литературе первая попытка классифицировать банковские риски была произведена в 1991 году, то есть во время перехода от командно-административных методов управления экономикой к рыночным.
Так, Н.Э. Соколинская[69] отмечает: «Для поддержания устойчивости коммерческих банков в условиях рыночной экономики необходимо учитывать возможные потери от многих видов банковских рисков: по формированию депозитов, по новым видам деятельности, кредитного, процентного, валютного, рыночного, банковских злоупотреблений, в сфере безналичных расчетов, по забалансовым операциям банков и других. Дальнейшее развитие рынка ценных бумаг, товарных и фондовых бирж, появление новых видов кредитов и посреднической деятельности банков, углубление международного сотрудничества и возникновение совместных фирм приведут к расширению видов банковских рисков».
Информационный риск в современном банковском деле
Как было сказано ранее, для банковского дела в последние годы становится характерной его сильная зависимость от внедрения и функционирования информационных технологий. Понятие «технология» пришло из производства и буквально определяется как система взаимосвязанных способов обработки материалов и приемов изготовления продукции в производственном процессе. Под информационной технологией понимают систему методов и способов сбора, накопления, хранения, поиска и обработки информации на основе применения средств вычислительной техники[22]. Понятие информационной технологии (ИТ) неотделимо от среды, в которой она организована, то есть от технической и программной сред. Сами по себе, как обособленные единицы, информационные технологии имеют мало ценности, однако их роль существенно возрастает, когда мы начинаем рассматривать их в привязке к предметной области, где они функционируют. Это позволяет говорить о связи предметной и функциональной ИТ. Предметная технология представляет собой последовательность операций, характеризуемых определенным набором правил по модификации первичной информации в результатную в какой-либо предметной области без использования ИТ.[80]
В привязке к конкретному примеру из банковской деятельности можно описать последовательность открытия предприятием лицевого счета: предоставление уставных документов, заключение договора на расчетно-кассовое обслуживание и получение справки об открытие счета.
В свою очередь функциональная информационная технология представляет собой информационную технологию, реализованную в конкретной предметной области. В привязке к предыдущему примеру с открытием лицевого счета - АРМ бухгалтера, включающий набор стандартных технологий, обеспечивающих ведение Плана счетов банка. Отметим, что первоначально БИС состояли из подобных АРМов, реализующих исключительно стандартные технологии, когда интересы банков в области автоматизации технологических процессов ограничивались регистрацией платежных документов и получением обязательной отчетности. Однако в последние годы произошли сильные изменения, которые повлияли на отношение банков к используемым информационным технологиям. Среди этих изменений выделим: уменьшение числа спекулятивных операций; снижение темпов инфляции, которая являлась источником сверхвысоких прибылей; ужесточение контроля за банковской деятельностью со стороны Центрального Банка, и как следствие увеличение и усложнение отчетных форм; рост конкуренции на рынке банковских услуг, что привело к снижению уровня прибыли; развитие и проникновение компьютерных технологий во все сферы человеческой деятельности. Все эти факторы привели к усложнению банковских операций и обусловили необходимость использования информационных технологий даже в таких трудно формализуемых областях как стратегическое управление и планирование. Таким образом, усложнение предметных технологий привело к тому, что их использование стало практически невозможно без использования компьютерных технологий, то есть предметная и функциональная ИТ стали неразрывно связаны. Технологии все в большей степени воздействуют на индустрию финансовых услуг и способы конкуренции. Однако не только развитие, но и выживание банка на рынке все более и более зависит от успешного внедрения и использования информационных технологий. Эффективность их использования является ключевым фактором, оказывающим влияние на способность банка оставаться конкурентоспособным. Применяя все более сложные методы сбора и накопления данных, банк может автоматизировать многие из своих функций, что позволяет достичь значительных преимуществ в ряде ключевых областей управления банком, таких как управление рисками, стратегическое планирование и др. Но, как это часто бывает, основополагающие факторы успеха обычно являются и основным источником опасности для организации. Так и информационные технологии, являясь ведущим фактором успешного развития банка, одновременно являются и одним из основных источником финансовых потерь. Неработоспособность компьютерных систем даже в течение нескольких часов может привести к серьезным финансовым потерям, а при более длительных сроках - поставить под угрозу существование банка. Согласно данным исследований, спустя две недели после прекращения работы вычислительных систем у 75 % компаний потеря функционирования становится критической или полной. Оценки потерь от преступлений, связанных с вмешательством в БИС различны. По данным из разных источников[17] ущерб за 1998 год составляет от 170 млн. до 40 млрд. долларов США. В результате отказов информационных систем банк может понести: финансовый ущерб из-за невозможности своевременно проводить платежи, формировать отчетность и т.д.; неосязаемые убытки, связанные с потерей расположения заказчика, распространением неблагоприятной информации о нестабильности работы банка, ухудшением имиджа, снижением конкурентоспособности и уменьшением доли на рынке; юридическую ответственность за невыполнение обязательств. Таким образом, риск возникающий при использовании информационных систем стал в последнее время одним их тех, не учитывая который можно прийти не только к уменьшению доходов банка, но и прекращению существования в качестве самостоятельного хозяйствующего субъекта. Возросшее влияние информационного риска на функционирование банковских организаций привело к тому, что на них обратил серьезное внимание Базельский комитет по банковскому надзору, который в своем документе «Risks in computer and telecommunication system.»[52] выделил следующие составляющие операционного риска в компьютерных и телекоммуникационных системах: риск безопасности (риск мошенничества) - связан с риском противоправного использования информации, с которой оперирует система, в целях, противоречащих интересам банка.
Особенностью операционного риска в контексте функционирования компьютерных систем является то, что большие объемы информации могут быть выведены из системы без оставления следов несанкционированного проникновения, что может привести к ухудшению репутации банка и выдвижению против банка имущественных исков; риск совершения ошибки - риск связан с ошибками, которые возникают при вводе данных в систему, модификации программного обеспечения и во время технического обслуживания; риск прерывания нормальной деятельности вследствие сбоев в работе программного и аппаратного компонентов компьютерной системы - риск уязвимости компьютерных систем, вследствие непредвиденных происшествий; риск неэффективного планирования; риск неадекватного исполнения управляющим звеном своих обязанностей сводится к неготовности банка к чрезвычайной ситуации. Кроме этого Базельским комитетом были разработаны международные стандарты по контролю за операционными рисками, в соответствии с которыми подсистема внутреннего контроля за автоматизированными банковскими системами может быть условно разделена на две составляющие: подсистему общего контроля, связанную с процедурами, сопутствующими работе компьютерных систем (контроль за разработкой систем, контроль безопасности, контроль за тестированием систем и т. д.); подсистему частного контроля, связанную с функционированием конкретной компьютерной системы (системы бухгалтерского учета, системы электронных платежей и т. Д) Общий контроль связан с условиями, в рамках которых разрабатываются, устанавливаются, отлаживаются и функционируют компьютерные системы. Задачей такого контроля является разработка и обеспечение выполнения соответствующих требований при создании и применении конкретных систем, а также обеспечение совместимости данных, программных продуктов и операционных процедур в пределах организации.
Анализ и выбор метода оценки и управления информационным риском
Проблема выбора метода оценки и управления рисками хорошо известна и занимает центральное место в практике банковского менеджмента. Однако появление в последнее время принципиально нового вида банковского риска, возникающего при использовании информационных систем, поставило задачу разработки методов его управления на первый план.
В настоящее время наибольшее распространение получили методы, связанные с безопасностью, как самих информационных систем, так и хранящейся в них информации.
Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз и уязвимостей, а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценке рисков учитываются такие факторы как: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое. [67]
К существующим методам, связанным с анализом информационного риска можно отнести метод, предназначенный для оценки возможных потерь от несанкционированного доступа и разрушения банковской информация на основе аддитивной модели. [66]
В основу метода положен принцип: «затраты на защиту не должны превышать возможные потери». Для определения затрат обычно строятся вспомогательные структуры, определяющие ценность информации. Одной из таких структур и является аддитивная модель.
В рамках этой модели информация представляется в виде конечного множества элементов, что позволяет оценить суммарную стоимость в денежных единицах исходя из оценки компонент. Оценка строится на основе экспертных оценок. Однако существует проблема объективности количественной оценки компонент, что связано с их неоднородностью. Поэтому в защищаемую информацию вносят иерархически относительную шкалу (линейный порядок, который позволяет сравнивать отдельные компоненты по ценности относительно друг друга). Единая шкала означает равенство цены всех компонент, имеющих одну и ту же порядковую оценку. Пусть 01, 02, ОЗ - объекты. По четырехбальной шкале объекты оценены как XI = 2, Х2 = 1, Х.З = 4, Х4 = 3 - вектор относительных ценностей объектов. Если известна цена хотя бы одного объекта, например С1, то можно вычислить оценку одного балла: cl = С1М.1. Цена каждого следующего объекта Ci = Xi cl. Сумма S = Cl + С2 + СЗ дает стоимость всей информации.
Оценка возможных потерь строится на основе полученных стоимостных компонент исходя из прогноза возможных угроз этим компонентам. Возможности угроз оцениваются вероятностями соответствующих событий, а потери подсчитываются как сумма математических ожиданий потерь для компонент по распределению возможных угроз.
Пусть 01,...,0п - объекты, ценности которых С1,...,Сп. Предположим, что ущерб одному объекту не снижает цены других, и пусть вероятность нанесения ущерба объекту Oi Для дальнейшего описания метода необходимо ввести некоторые определения (будем рассматривать информацию в терминах некоторого языка Я).
Под объектом информационной системы относительно языка Я будем понимать конечное произвольное множество слов Я. Объект, описывающий преобразование, активизированное в данный момент, которому выделены ресурсы, называют субъектом.
Категорией защиты называется свойство объекта, теряемое при доступе субъекта, содержащего деструктивное преобразование. Обозначим множество объектов как О, множество субъектов - S, множество категорий защиты — К. Будем рассматривать следующие категории защиты: секретность (с), целостность (ц), доступность (д), актуальность (а). Таким образом:
Далее составляется классификация объектов. Количество операций по проставлению оценочных баллов (А,) составляет b = n k, где п - мощность множества рассматриваемьк объектов О, к - мощность множества категорий защиты К. Следует обратить особое внимание, что правильная оценка объекта зависит от квалификации и профессионализма эксперта. Пример классификации по четырехбалльной шкале приведен в таблице 2.2.1.
Увеличение прибыли от использования технологии Клиент-банк с помощью метода обратных вычислений
Как известно, проблема риска и прибыли является одной из ключевых в экономической деятельности, в частности в управлении производством и финансами. Однако если рассматривать такой вид риска, как информационный, то здесь эта связь явно не прослеживается: данные вид более связан с величиной ущерба, который может понести кредитная организация.
Следует отметить, что с развитием компьютерных систем и электронной коммерции, банки стали все чаще и чаще предлагать клиентам услуги, непосредственно связанные с использованием современных информационных технологий. Так, в частности, большое распространение получила технология Клиент-банк, позволяющая организовать удаленное взаимодействие предприятий с обслуживающими их кредитными организациями.
Для осуществления расчетов в этой системе по меньше мере требуется три элемента: программное обеспечение на стороне клиента; средства коммуникации; программное обеспечение на стороне банка, позволяющего принимать и обрабатывать электронные платежные документы, поступившие от удаленных клиентов.
Основными функциями системы для клиента являются управление своими счетами, открытыми в банке, поддержание документооборота, проведение финансовых операций и получение требуемой информации. Фактически процесс взаимодействия банка со своим клиентом частично переносится из офиса банка в офис клиента.
Клиентская часть системы обеспечивает подготовку платежных документов различных типов (платежное поручение, заявление на перевод валюты и т.д.), их отправку в банк, получение из банка выписок по счетам, реестров платежей, курсов валют и справочника Банковских Идентификационных Кодов. Все отправляемые клиентом документы должны быть заверены АСП (Аналогом Собственноручной Подписи), после чего формируется файл, который шифруется и отправляется в банк.
Банковская часть системы «клиент-банк» должна автоматически выполнять все действия по приему и обработки документов без участия оператора. Эта часть может быть организована как в виде АРМа и является частью БИС банка, либо является отдельным модулем и связывается с банком через промежуточные накопители документов. Банковская часть должна быть снабжена устройством передачи данных и коммуникационным блоком.
Получение информации от клиента включает в себя аутентификацию клиента, прием переданной информации, проверку электронных подписей и формирование ответного сообщения клиенту. Кроме этого клиенту передаются реестры полученных платежей, выписка по счету и различная справочная информация. Передаваемое сообщение шифруется и отправляется клиенту по каналам связи.
В качестве коммуникационного канала используются каналы цифровых сетей, каналы х.25, радиоканалы, коммутируемые телефонные линии. Применение выделенных линий, оптоволоконных линий и спутниковой связи не рентабельно из-за их высокой стоимости при небольшом объеме передаваемой информации и редких сеансах связи. [74]
Очевидно, что предоставление банками такой услуги приносит скорее косвенный, чем прямой доход, который выражается в привлечении большего числа клиентов и, следовательно, увеличении ресурсной базы банка. Тем не менее, взимание комиссий за использование данной технологии и присутствие риска, что затребованная клиентом услуга не будет предоставлена именно из-за отказа от использования стандартной технологии общения с банком, позволяет нам поставить задачу по управлению прибылью, как разницей между доходом и ущербом.
Доход от технологии вычисляется следующим образом: число обслуживаемых клиентов умножается на ежемесячный комиссионный сбор, после чего вычитаются эксплуатационные расходы за месяц.
Ущерб будем вычислять как вероятность возникновения информационного риска, умноженная возможный убыток, который определяется на основании особенности предоставляемой услуги и указанных в договоре на обслуживание санкциях за ее не предоставление.
Для того чтобы проследить причины возникновения сбоев, мы производим декомпозицию информационного риска на два вида: технический и программный.
На этом оценка риска может считаться законченной. На следующем этапе должна быть выработана цель управления и проведены вычисления, определяющие новые значения терминальных вершин - в случае нашей задачи новые значения сбоев для каждого из уменьшаемых видов риска. Очевидно, что приведенных данных для решения этой задачи не достаточно. Чтобы ответить на вопрос как снизить вероятность (или число сбоев) на требуемую величину необходимо еще на этапе исследования определить причины возникновения сбоев и определить методы их устранения.
В результате наблюдений данную информацию удалось получить для четырех видов риска: риск выхода из строя серверов; риск сбоя во внешних коммуникациях; риск появления ошибки в банковском ПО; риск появления ошибки в сетевых операционных системах. Данные по причинам возникновения рисков представлены в таблице 3.1.2.
Как видно из данных таблиц 3.1.2 и 3.1.3. такие виды риска как риск исполнителя и риск технологической составляющей не были нивелированы - они нашли свое отражение при определении причин возникновения других видов риска.
Следует отметить, что использование данного метода требует разработанной концепции контроля за информацинным риском, подразумевыющий наличие системы учета всех произошедших сбоев с указанием причины их возникновения. Кроме того, необходима система распределения затрат, выделяемых на каждую задачу, либо необходимо комплексное управления риском безотносительно какой-либо банковской операции.
