ОЦЕНКА УПРАВЛЕНИЯ ОПЕРАЦИОННЫМИ РИСКАМИ И ФИНАНСОВЫМИ ПОТЕРЯМИ ПРИ СБОЯХ В РАБОТЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ФИНАНСОВОЙ ОРГАНИЗАЦИИ

EVALUATION OF THE MANAGEMENT OF OPERATIONAL RISKS AND FINANCIAL LOSSES IN THE EVENT OF FAILURES IN THE OPERATION OF THE INFORMATION SYSTEM OF A FINANCIAL ORGANIZATION

Mikhail Rudenkov

student, Department of Integrated Safety of the Fuel and Energy Complex, Gubkin Russian State University of Oil and Gas (National Research University), Russia, Moscow

Andrey Rybkin

scientific supervisor, senior lecturer, Gubkin Russian State University of Oil and Gas (National Research University), Russia, Moscow

АННОТАЦИЯ

Система управления операционными рисками в кредитных организациях заключается в выявлении, оценке и минимизации рисков, возникающих в процессе деятельности. Рассматривается риск информационной безопасности, который включает угрозы утечек данных, связанных с защитой информации в банковской сфере.

ABSTRACT

The operational risk management system in credit institutions consists of identifying, assessing and minimizing risks that arise in the course of activities. The information security risk is considered, which includes threats of data leaks related to the protection of information in the banking sector.

Ключевые слова: операционный риск, банковские риски, управление операционным риском, риски информационной безопасности, политика защиты информации.

Keywords: operational risk, banking risks, operational risk management, information security risks, information security policy.

Управление операционными рисками в кредитной организации представляет собой важный аспект обеспечения устойчивости и надежности финансовых институтов. Основной целью управления операционными рисками является минимизация потенциальных убытков, возникающих вследствие внутренних ошибок, сбоев в процессах, технических неисправностей, а также внешних факторов, таких как мошенничество или кибератаки.

Одной из ключевых характеристик операционного риска является его отличие от кредитного и рыночного риска, так как он связан не с финансовыми обязательствами контрагентов или изменениями в рыночных ценах, а с внутренними процессами самой организации. Для эффективного управления этим риском банки разрабатывают системы мониторинга, идентификации и оценки угроз, что позволяет своевременно выявлять слабые места в операционной деятельности.

Процесс управления операционными рисками включает несколько ключевых этапов:

Рисунок 1. Система управления операционным банковским риском

Система управления операционным риском в кредитной организации включает процедуры выявления, оценки и минимизации рисков, классификатор событий для унификации данных, базу данных и показатели уровня риска.

Процедуры управления операционным риском в кредитной организации представляют собой совокупность шагов, направленных на системное выявление, анализ, оценку и минимизацию рисков, возникающих в процессе деятельности.

Идентификация операционного риска начинается с анализа прошлых инцидентов, ежегодной самооценки подразделений с использованием анкет и мониторинга ключевых индикаторов риска (КИР). Анализ документации, обсуждение рисков между сотрудниками и получение информации от аудиторов дополняют процесс. Вся информация фиксируется в реестре операционных рисков, который систематизирует выявленные события.

Сбор и учет данных об операционных рисках осуществляется автоматизированными и неавтоматизированными методами. Первый использует информационные системы для фиксации рисков, второй — экспертные оценки. Все данные классифицируются и используются для анализа финансовых потерь, включая прямые убытки, недополученные доходы и потенциальные будущие потери.

Количественная оценка операционного риска включает статистические и аналитические методы, расчет необходимого капитала для покрытия возможных убытков и анализ рисков информационной безопасности. Качественная оценка дополняет количественные методы, позволяя детально изучить природу рисков. Сценарный анализ и моделирование угроз помогают прогнозировать возможные последствия.

Выбор стратегии реагирования на риски включает четыре варианта: уклонение (отказ от операций с высоким риском), передачу (страхование или передача контрагентам), принятие (если убытки допустимы) и снижение (контрольные меры, автоматизация, обучение). Организация разрабатывает регламенты по выбору и оценке эффективности этих мер.

Кредитные организации создают классификатор событий операционного риска для систематизации инцидентов, угрожающих их деятельности. Он охватывает источники, типы событий, направления деятельности и виды потерь.

Источники операционного риска делятся на четыре категории: недостатки внутренних процессов (неэффективное управление, устаревшие процедуры), действия персонала и партнеров (ошибки, мошенничество), сбои информационных систем и оборудования (технические неисправности, отсутствие резервных механизмов) и внешние факторы (кибератаки, изменения законодательства, природные катастрофы).

События операционного риска включают умышленные и неумышленные действия сотрудников и третьих лиц, ошибки в операциях, утечку данных, сбои в системах и нарушение трудового законодательства. Банки классифицируют такие события по направлениям деятельности: корпоративное финансирование, финансовые операции, розничное и коммерческое банковское обслуживание, платежные системы, депозитарные услуги и обеспечивающие процессы (бухгалтерия, IT).

Потери от операционного риска бывают прямыми (утрата активов, расходы на резервы, компенсации, штрафы, судебные издержки) и непрямыми (косвенные, качественные и потенциальные). Косвенные выражаются в виде упущенной прибыли, роста стоимости заимствований и снижения ликвидности. Качественные включают ухудшение репутации, снижение качества услуг, операционные сбои. Потенциальные потери касаются рисков, которые пока не реализовались, но могут привести к убыткам.

Эффективная классификация событий операционного риска позволяет банкам выявлять слабые места, минимизировать убытки и повышать устойчивость к кризисным ситуациям.

База событий операционного риска и потерь, связанных с его реализацией, представляет собой систематизированное хранилище данных, которое кредитные организации ведут на постоянной основе. Эта база содержит информацию о причинах и обстоятельствах событий операционного риска, а также о понесенных убытках. Ведение базы позволяет организациям анализировать прошлые случаи, оценивать их влияние и принимать меры для предотвращения подобных ситуаций в будущем.

Риск информационной безопасности - риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ, в том числе применения технологических и автоматизированных систем.

Управление риском информационной безопасности в кредитной организации основывается на четких внутренних регламентах. Внутренние регламенты определяют порядок ведения базы событий риска информационной безопасности. Организация обязана выявлять, регистрировать и учитывать все события, связанные с риском информационной безопасности, включая полное описание событий, их классификацию и установление соответствующих потерь. Потери должны быть детализированы по видам и распределены по датам, с раздельным учетом поступивших возмещений.

Эффективное управление рисками информационной безопасности требует постоянного мониторинга, разработки мероприятий по совершенствованию системы защиты и обмена информацией внутри организации, которое обеспечивает надежную защиту данных, минимизирует операционные риски и соответствует требованиям регуляторов.

Список литературы:

1. Воронин Ю.М. Управление банковскими рисками / Ю.М. Воронин. - М.: НОРМА, 2016. – 236 c.
2. Жуков Е.Ф., Эриашвили Н.Д. Банковский менеджмент: учебник для студентов вузов, обучающихся по экономическим специальностям/ под ред. Е.Ф. Жукова, Н.Д. Эриашвили. – М.: ЮНИТИ-ДАНА, 2018. – 326 с.
3. Лаврушин О.И., Валенцева Н.И. Банковские риски: учебник / О.И. Лаврушин, Н.И. Валенцева, О.В. Захарова, Л.Н. Красавина. – М.: КноРус, 2019. - 292 с.
4. Ермаков С.Л. Основы организации деятельности коммерческого банка: учебник / С.Л. Ермаков, Ю.Н. Юденков. – М.: КноРус, 2019. - 645 с.