Издания и мероприятия для банковских специалистов:
 
Методический журнал
МСФО и МСА в кредитной организации
Описание изданияСвежий номер Архив Приобрести/Подписаться
Выходит один раз в квартал.
Объем 112 с. Формат А4.
Издается с 2003 г.
 
 

IT-риски: что остается «за кадром»?

Размещено на сайте 06.09.2017
Потеря или «утечка» банковской информации может «потопить» даже очень устойчивый банк. Таким образом, финансовое состояние аудируемого банка напрямую зависит от защищенности его информационных активов, от возможных оценочных обязательств по юридическим рискам. Какими способами можно провести качественную и количественную оценку рисков, связанных с информационными технологиями? Как систематизировать источники этих рисков? В статье приведены реальные примеры угроз, а также предпринятые и рекомендуемые методы управления IT-рисками и оценочными обязательствами в результате их возникновения.
 
Михаил ВИННИКОВ, консультант по IT-системам
 
 
Приводятся извлечения из статьи. Полную версию материала читайте в журнале. Подписаться
 
 
Всякий актив не только ценен, но и уязвим; не составляют исключения и информационные активы, обслуживаемые процессами и инфраструктурными элементами IT.
К сожалению, одни из самых многочисленных и дорогостоящих провалов в IT — это не­удачные (по результатам) или проваленные проекты внедрения информационных систем, в том числе классических АБС (особенно иностранного происхождения), «самописных» АБС, систем «банк–клиент», хранилищ данных и систем подготовки отчетности на их основе.
Тестирование новых и обновляемых систем: алгоритмическое, стрессовое, нагрузочное, регрессионное (особенно после апгрейда или «исправления ошибок») — вполне надежный способ уменьшения рисков, связанных с ошибками ПО.
В банке должна быть как минимум четкая и жесткая политика использования компьютеров и устройств (банкоматов, POS- и платежных терминалов и т.п.), подключенных к публичным сетям.
Отсутствие адекватной политики управления жизненным циклом информационных систем особенно ярко проявляется в работе с системами, выведенными из промышленной эксплуатации, и содержащимися в них архивными данными.
Во многих международных банках, имеющих централизованные информационные системы, локальные менеджеры, ответственные за работу IT, имеют официальную должность «менеджера рисков». Возможно, это положение не совсем применимо к «родным осинам», но сам факт любопытен.
Больше всего споров и непонимания вызывает метод управления рисками, заключающийся в формировании резервов или запасов.
Базельский комитет определяет несколько подходов к формированию требований к капиталу при наличии операционных рисков. В большинстве банков применяется «базовый индикативный подход» как самый простой и необременительный в расчетах, но отнюдь не самый выгодный.
Наличие резервных ЦОД, линий электропитания и связи, интернет-провайдеров и прочих элементов существенно понижает уровень возможных потерь. Разумная учетная политика для данных активов позволит минимизировать риски и не создавать проблем для отчетности и экономических показателей.
 
 
 
 
Другие проекты группы «Регламент-Медиа»