ИНФОРМАЦИООНЫЙ_МЕНЕДЖМЕНТ / ИТриски

Список литературы:

1.Аглицкий И.С. Информационные технологии в экономике: Новый российский опыт. — МУП «Джержинский», Дзержинский, 2007, 128 с.

2.Завгородний В.И. Информационные риски и экономическая безопасность предприятия. — М.: Финакадемия, 2008. — 160 с.

3.Завгородний В.И. Информационные риски: сущность и механизмы управления //Сегодня и завтра российской экономики. 2008. — № 20. —С. 51—55.

4.Завгородний В.И. Информационные риски: сущность, концепция управления — М.: ЗАО «Издательство «Экономика», 2007. — 177 с.

Новая третья версия библиотеки ITIL® сосредотачивается главным образом на ИТ-стратегии в рамках организации и на постоянном улучшении сервисов. Библиотека состоит из трёх частей: ядро (core), дополнительные книги (complementary) и интернет-часть (Web). Идеологическая часть ITIL® v3 - ядро - включает пять книг: по сервисной стратегии (service strategy), проектированию сервисов (service design), передаче сервисов (service transition), эксплуатации сервисов (service operation) и их постоянному улучшению (continual service improvement). В дополнительной серии книг - complementary - авторы будут концентрироваться уже не на идеологии, а на вопросе «как сделать?» И интернет-часть третьей версии ITIL® будет включать в себя информационные документы, примеры использования и другие сугубо практические материалы.

Выпущенная в свет новая версия библиотеки не является чем-то кардинально новым. Это скорее обновление и устранение ошибок и несоответствий, которые были в ITIL® v2.

Вторая версия фокусируется на соответствии сервисов ИТ требованиям бизнеса и предлагает хорошую практику (Best Practice) управления ИТ сервисов. А следующий шаг этих отношений сфокусирован вокруг интеграции бизнеса и ИТ, при которой бизнес и не узнает, когда ИТ инфраструктура или процессы будут испытывать изменения.

Достигать такой интеграции бизнеса и ИТ третья версия ITIL® предлагает посредством применения подхода «жизненного цикла сервиса» к ITSM: от глобальной перспективы стратегии к стратегии сервисов, к проектированию сервисов, передаче сервисов, эксплуатации сервисов и к постоянному улучшению сервисов. Как это может быть достигнуто показано в новых 5 книгах, которые прослеживают управление ИТ сервисами от начала до конца:

1. Первая книга Service Strategy – Стратегия сервисов рассказывает о необходимости сервисного подхода, о преимуществах, которые даёт сервисная модель бизнесу, о том, как строить стратегическую политику соотнесения этой модели с внешними и внутренними стандартами организации, как рассчитать стоимость сервиса, управлять рисками и т.д.

Купить книгу>>>

Ознакомиться с материалом книги на Google Books>>>

2. Во второй книге Service Design – Проектирование сервисов рассказывается о политике проектирования сервисов (самое важное обновление во всей третьей версии ITIL®): ведь абсолютно очевидно, что любой сервис должен быть изначально спроектирован, хотя на практике организации демонстрируют примеры обратного. Результатом проектирования сервисов должен являться сервисный пакет (service package), в котором содержится подробнейшая информация о сервисе: за что он будет отвечать, как будет внедряться.

Купить книгу>>>

Ознакомиться с материалом книги на Google Books>>>

3. Третья книга Service Transition – Передача сервисов — здесь речь идёт о том, что невозможно судить о приемлемости ИТ сервиса до тех пор, пока не станет точно понятно, каким образом он будет использоваться. Часто заказчику бывает нужно нечто совершенно не похожее на то, что он сформулировал на этапе проектирования. В таком случае в уже спроектированном ИТ сервисе делаются серьёзные изменения. И необходимо, чтобы при построении новых сервисов можно было контролировать ход выполнения работы. В этой книге собраны методики перехода, оценки и тестирования сервисов.

Купить книгу>>>

Ознакомиться с материалом книги на Google Books>>>

4. В четвёртую книгу Service Operation – Эксплуатация сервисов перешли процессы сервисной поддержки (service support) из предыдущей версии библиотеки ITIL® v2. Правда, добавлено всё то, чего не хватало для поддержки сервисов во второй версии: наконец-то описана процедура сервисных запросов и процедура управления событиями.

Купить книгу>>>

Ознакомиться с материалом книги на Google Books>>>

5. В пятой книге Continual Service Improvement – Постоянное улучшение сервисов описан семишаговый процесс поиска необходимых изменений для уже работающих сервисов. Рассказано о непременно предшествующей таким изменениям оценке двух ситуаций: той, в которой компания находится сейчас, и той, в которой планирует оказаться через некоторое время после усовершенствования сервиса.

Купить книгу>>>

Ознакомиться с материалом книги на Google Books>>>

Таким образом, третья версия ITIL® прочно основывается на всём том удачном, что уже было сделано в предыдущей версии библиотеки ITIL® v2, все знакомые по второй версии процессы остаются, но в изменённом, усовершенствованном виде, абсолютно точно можно сказать, что никакие процессы в новой версии не устраняются совсем. А одним из важнейших изменений стало появление концепции «жизненного цикла сервисов» - новый формат выполнения ITSM в каждодневной практике.

С июня 2009 года русскоязычная локализация Глоссария ITIL® v3, выполненная силами itSMF Россия, получила международное признание и размещена сайте itsmforum.ru и на официальном сайте OGC. Теперь русский язык, наряду с английским, немецким, испанским, французским и другими, является официальным языком глоссария ITIL® v3.

ИТ-риски

Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности. Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие: • выбора неоптимального решения по автоматизации; • ошибок при проектировании; • нарушения расчетных сроков и бюджета проекта; • несоответствия между инфраструктурой и решениями по автоматизации; • технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются: • неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки; • неиспользование всего потенциала технологий; • невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем; • неоптимальные процедуры технического обслуживания и решения нештатных ситуаций; • ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал. Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.) 

Категории оцениваемых ИТ-рисков

Рискоориентированный аудит системы управления информационными технологиями — деятельность, осуществляемая в интересах руководства, в рамках которой происходит сбор свидетельств аудита и оценка степени их соответствия согласованным критериям аудита с целью формирования независимой экспертной оценки фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию.

Процессный риск – неполный охват деятельности по обеспечению результативного, рационального и безопасного использования информационных технологий на различных стадиях их жизненного цикла. Например, в рамках оценки данной категории риска идентифицируются следующие проблемные области:

• Неготовность ИТ оказывать адекватную поддержку бизнес-инициативам

• Высокая длительность и стоимость проектов по созданию информационных систем

• Неудовлетворяющие бизнес решения по автоматизации

• Несоответствие фактического уровня ИТ-сервисов ожиданиям бизнеса

• Частые сбои и длительное время восстановления работоспособности систем

• Неполное использование пользователями возможностей ИТ

• Ошибки при обработке данных

Риск внутреннего контроля – недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей ИТ-управления.

Риск информационной безопасности – недостатки в системе управления информационной безопасности, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации.

Операционный бизнес-риск – совокупность недостатков системы ИТ-управления в отношении информационных технологий, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации риска не достижения целей основной деятельности.

Риск персонала – неадекватное управление кадровыми ресурсами, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций.

В чём состоит проблема?

Давайте разберемся, какая ответственность по управлению ИТ-рисками лежит на поставщикеИТ-сервисов. Вот что об этом говорится в материалах третьей версии ITIL: «Сервис — способ предоставления ценности заказчикам через содействие им в получении результатов, которых заказчики хотят достичь без владения специфическими затратами и рисками» (официальный русскоязычный перевод глоссария ITIL v3). Таким образом, обязанность поставщика ИТ-сервисов — управлять соответствующими ИТ-рисками, то есть реализовать такую систему управления, которая умеет эти риски выявлять, ранжировать, снижать и контролировать.

Более того, для многих предприятий именно управление ИТ-рисками (а не повышение качества ИТ-сервисов и не сокращение расходов) является основным стимулом инвестировать в систему ИТ-менеджмента. Чаще всего это связано с одной из следующих причин:

• существенная зависимость продуктов/сервисов предприятия от ИТ (прежде всего, характерно для банков и телекоммуникационной отрасли)

• необходимость защиты интересов акционеров в получении достоверной отчетности (открытые акционерные общества, компании, которые готовятся к IPO, ресурсодобывающая отрасль)

• необходимость соответствия отраслевым стандартам (сейчас это в основном финансовые учреждения)

Ассоциативная память в ответ на упоминание термина «риск-менеджмент» сразу подскажет знакомые всем названия методик управления рисками: M_o_R, CRAMM, MOF (в части управления рисками). Однако они носят довольно общий характер (за исключением CRAMM, который больше ориентирован на информационную безопасность) и их применение «с чистого листа» приводит к сложностям уже на первом этапе — этапе идентификации рисков.

Так что же необходимо делать для управления ИТ-рисками? Какой подход дает наилучшие результаты?

Варианты решения

Один из эффективных вариантов решения этой задачи — встраивание управления рисками в систему управления ИТ-сервисами. Это действительно работает, ведь на каждой фазе жизненного циклаИТ-сервиса можно естественным образом влиять на уровень ИТ-риска:

• на этапе дизайна (проектирования) можно организовать контрольные процедуры, которые будут снижать риск внедрения ИТ-решений с недостаточными возможностями. В этом могут помочь следующие процессы:

  • управление уровнем ИТ-сервисов — в части выявления и согласования требований

  • управление доступностью, непрерывностью и мощностями — в части обеспечения соответствующих характеристик сервисов с учетом потребностей бизнеса и результатов анализа влияния на бизнес (Business Impact Analysis, BIA)

• на этапе внедрения можно бороться как с рисками плохого проектирования (выполняя тестирование внедряемых ИТ-решений), так и с рисками отказов (грамотно планируя и проводя развертывание). В этом помогут процессы управления изменениями и релизами

• на этапе эксплуатации соответствующие процедуры помогут снизить риски, связанные с отказами:

  • управление инцидентами может снизить риск за счет скорейшего восстановленияИТ-сервисов (то есть сокращения ущерба)

  • управление проблемами увеличивает время между отказами, повышает надежностьИТ-сервисов, снижая риск за счет уменьшения вероятности отказов;

  • управление операциями организует исполнение и контроль операций, которые обеспечивают и стабильную работу систем (за счет своевременного выполнения регламентных операций), и сокращение времени восстановления (например, за счет эффективного резервного копирования и мониторинга)

Таким образом, встраивая управление ИТ-рисками в систему управления ИТ-сервисами, мы во многом заменяем «академический» подход к управлению рисками установкой действенных «контрольных механизмов» в те точки жизненного цикла сервисов, в которых ИТ-риски формируются и проявляются.

Чем может помочь Cleverics

В работе с ИТ-рисками мы можем помочь Вам, используя весь наш инструментарий — обучение, консалтинговые услуги, проведение оценки.

HP исследовала ИТ-риски и их связь с бизнес-рисками

В ходе исследования, которое по заказу компании НР провело аналитическое агентство Economist Intelligence Unit, были опрошены ИТ-специалисты в странах Европы, Ближнего Востока, Америки и Азиатско-Тихоокеанского региона.

Компания HP анонсировала результаты глобального исследования об ИТ-рисках и их связи с бизнес-рисками, в котором приняли участие 1 125 ИТ-специалистов из 20 стран. В ходе исследования, которое по заказу компании НР провело аналитическое агентство Economist Intelligence Unit, были опрошены ИТ-специалисты в странах Европы, Ближнего Востока, Америки и Азиатско-Тихоокеанского региона.

Исследование показало, что главными источниками ИТ-рисков считаются большой объем изменений, возрастающая сложность систем, а также бреши в системах безопасности, которыми пользуются хакеры.

«Данные исследования ясно показывают, что для многих ИТ-организаций жизненно необходима предсказуемость их деятельности. Принимая во внимание тот факт, что ИТ- и бизнес-риски тесно связаны друг с другом, недостаточная предсказуемость ИТ равносильна недостаточной предсказуемости бизнеса, – сказал Клинт Витчеллз, главный редактор аналитического агентства Economist Intelligence Unit. – Компании, которым удастся успешно справиться с этими проблемами, будут иметь явное преимущество перед конкурентами».

Исследователи пришли к выводу, что за последние 3 года постоянные изменения, сложность ИТ и безопасность стали основными источниками повышения ИТ-рисков. 75% респондентов сказали, что управление корпоративными рисками в их организациях тесно связано с управлением ИТ-рисками. 25% респондентов констатировали, что половина вынужденных простоев обусловлено изменениями.

68% респондентов определяют уязвимости в безопасности приложений вручную. Только 28% респондентов считают, что используемые ими процессы защиты приложений являются зрелыми и поддерживаются формальными политиками и необходимыми инструментами, вместо того чтобы управлять безопасностью с момента разработки с помощью решений для оценки качества и до начала использования.

Более двух третей опрошенных отметили, что благодаря стандартизации процессов результаты деятельности ИТ-организаций стали более предсказуемыми. 72% интервьюируемых согласны с тем, что благодаря автоматизации управления ИТ-изменениями результаты работы стали более предсказуемыми. 80% респондентов согласились с тем, что автоматизация ИТ-функций высвобождает время и материальные средства для внедрения инноваций.

Риски с точки зрения ИТ

Управление бизнес-рисками — сфера деятельности, в которой роль ИТ-департамента весьма неоднозначна

Константин Поляков

Управ­ле­ние биз­нес-рис­ка­ми — сфера де­я­тель­но­сти, в ко­то­рой роль ИТ-де­пар­та­мен­та весь­ма неод­но­знач­на. С одной сто­ро­ны, без ис­поль­зо­ва­ния ин­фор­ма­ци­он­ных тех­но­ло­гий здесь не обой­тись. С дру­гой сто­ро­ны, ме­ро­при­я­тия по сни­же­нию или хотя бы ста­би­ли­за­ции уров­ня риска тре­бу­ют спе­ци­аль­ных зна­ний, ко­то­ры­ми, как пра­ви­ло, ИТ-спе­ци­а­ли­сты и ИТ-ме­не­дже­ры не обладают.

Го­во­ря о биз­нес-рис­ках в рос­сий­ских ком­па­ни­ях, мы пре­жде всего имеем в виду участ­ни­ков фи­нан­со­во­го сег­мен­та рынка — банки, стра­хо­вые и ин­ве­сти­ци­он­ные ком­па­нии. Про­чие ор­га­ни­за­ции толь­ко на­чи­на­ют при­смат­ри­вать­ся к этому на­прав­ле­нию, и лишь наи­бо­лее круп­ные, име­ю­щие выход на меж­ду­на­род­ные рынки, пред­при­ни­ма­ют прак­ти­че­ские шаги.

Как пра­ви­ло, управ­ле­ни­ем кре­дит­ны­ми и ры­ноч­ны­ми рис­ка­ми за­ни­ма­ют­ся со­от­вет­ству­ю­щие де­пар­та­мен­ты. Что ка­са­ет­ся опе­ра­ци­он­ных рис­ков, то здесь си­ту­а­ция на­мно­го слож­нее. Алек­сандр Со­ко­лов, член прав­ле­ния и ди­рек­тор де­пар­та­мен­та ана­ли­за рис­ков банка «ВТБ24», вы­сту­пив­ший на круг­лом столе в рам­ках меж­ду­на­род­ной кон­фе­рен­ции Experian Executive Forum 2011, счи­та­ет, что опе­ра­ци­он­ный риск — это, по сути, сбой в ис­пол­не­нии неко­то­ро­го про­цес­са. Все­гда есть клю­че­вые сбои, ко­то­рые об­ла­да­ют вы­со­кой ве­ро­ят­но­стью и вле­кут за собой боль­шие по­те­ри. Таких сбоев ни­ко­гда не бы­ва­ет много. Ос­нов­ная за­да­ча банка — со­сре­до­то­чить­ся имен­но на них.

Как наи­бо­лее ра­зум­но ор­га­ни­зо­вать ра­бо­ту? Раз­ме­щать в каж­дом под­раз­де­ле­нии риск-ме­не­дже­ра до­ро­го и неэф­фек­тив­но. Не нужно вы­яв­лять все такие риски си­ла­ми риск-ме­не­дже­ров, счи­та­ет Со­ко­лов, по­сколь­ку для этого они долж­ны были бы стать про­фес­си­о­на­ла­ми во всех на­прав­ле­ни­ях бан­ков­ской де­я­тель­но­сти. За­да­ча де­пар­та­мен­та по управ­ле­нию рис­ка­ми — вы­сту­пить ини­ци­а­то­ром и ор­га­ни­за­то­ром про­цес­са. Он дол­жен объ­яс­нить банку необ­хо­ди­мость про­ве­де­ния этих работ — по сути, «про­дать» биз­не­су эту идею, убе­дить топ-ме­не­дже­ров в важ­но­сти про­цес­са. Де­пар­та­мент рис­ков вме­сте со спе­ци­а­ли­ста­ми функ­ци­о­наль­ных под­раз­де­ле­ний дол­жен со­ста­вить сов­мест­ный план вы­пол­не­ния необ­хо­ди­мых ме­ро­при­я­тий, од­на­ко осу­ществ­лять аудит и предот­вра­щать риски долж­ны имен­но эти функ­ци­о­наль­ные специалисты.

Для бан­ков одним из важ­ней­ших на­прав­ле­ний управ­ле­ния рис­ка­ми яв­ля­ет­ся сов­мест­ная ра­бо­та с ИТ-де­пар­та­мен­том. «Ру­ко­во­ди­тель де­пар­та­мен­та рис­ков дол­жен сесть за стол с ИТ-ди­рек­то­ром и до­го­во­рить­ся о про­ве­де­нии ди­а­гно­сти­ки узлов, раз­ру­ше­ние ко­то­рых может по­вли­ять на устой­чи­вость банка, а также со­ста­вить с ним план обес­пе­че­ния непре­рыв­но­сти биз­не­са и вос­ста­нов­ле­ния после сбоев», — по­яс­ня­ет Соколов.

Можно сфор­му­ли­ро­вать нема­ло ре­ко­мен­да­ций, ко­то­рые не тре­бу­ют спе­ци­аль­ных зна­ний, ка­жут­ся оче­вид­ны­ми, но о ко­то­рых часто за­бы­ва­ют, увле­ка­ясь раз­ви­ти­ем биз­не­са. В то же время несо­блю­де­ние этих ре­ко­мен­да­ций весь­ма ве­ро­ят­но и чре­ва­то огром­ны­ми по­те­ря­ми. «Я ре­ко­мен­дую по­се­тить ваши сер­вер­ные по­ме­ще­ния. Очень часто можно уви­деть, как слу­чай­но ока­зав­ший­ся там тех­ни­че­ский пер­со­нал греет круж­ки с кофе на вы­де­ля­ю­щих много тепла сер­ве­рах. Легко пред­ста­вить себе, что про­изой­дет, если круж­ка опро­ки­нет­ся», — го­во­рит Соколов.

 

Опе­ра­ци­он­ные риски

Банку «Ре­нес­санс Ка­пи­тал», раз­ви­ва­ю­ще­му мас­штаб­ный роз­нич­ный биз­нес под брен­дом «Ре­нес­санс Кре­дит», при­су­щи все ха­рак­тер­ные для дан­но­го сег­мен­та биз­не­са осо­бен­но­сти, уве­ре­на Юлия Ми­ло­ва­но­ва, на­чаль­ник управ­ле­ния кре­дит­ных, ры­ноч­ных и опе­ра­ци­он­ных рис­ков банка. В первую оче­редь это ка­са­ет­ся ко­лос­саль­но­го объ­е­ма опе­ра­ций по ра­бо­те с фи­зи­че­ски­ми ли­ца­ми, для об­слу­жи­ва­ния ко­то­ро­го тре­бу­ют­ся боль­шой штат со­труд­ни­ков и мно­же­ство про­грамм­ных ком­плек­сов, ав­то­ма­ти­зи­ру­ю­щих бан­ков­ские про­цес­сы. Со­от­вет­ствен­но, ос­нов­ны­ми ис­точ­ни­ка­ми опе­ра­ци­он­но­го риска банка яв­ля­ют­ся си­сте­мы и пер­со­нал. Среди ис­точ­ни­ков опе­ра­ци­он­но­го риска стоит также от­ме­тить биз­нес-про­цес­сы и «тре­тьих лиц».

Наи­бо­лее силь­но опе­ра­ци­он­ным рис­кам под­вер­же­ны ав­то­ма­ти­зи­ро­ван­ные бан­ков­ские си­сте­мы. Чаще всего риски здесь про­яв­ля­ют­ся в виде сбоев в ра­бо­те ПО. Необ­хо­ди­мость тща­тель­ной на­строй­ки и при­ве­де­ния новых си­стем в со­от­вет­ствие с уже ис­поль­зу­е­мы­ми яв­ля­ет­ся ос­нов­ным ис­точ­ни­ком этих рисков.

Устой­чи­вость к рис­кам биз­нес-про­цес­сов — это ре­зуль­тат це­ло­го ком­плек­са спе­ци­аль­ных мер, ре­а­ли­зу­е­мых несколь­ки­ми под­раз­де­ле­ни­я­ми. Су­ще­ству­ю­щая си­сте­ма мер, по сло­вам Ми­ло­ва­но­вой, поз­во­ля­ет од­но­знач­но кон­ста­ти­ро­вать их на­деж­ность и до­ста­точ­ность. При необ­хо­ди­мо­сти под­раз­де­ле­ние опе­ра­ци­он­ных рис­ков ини­ци­и­ру­ет пе­ре­смотр биз­нес-про­цес­сов с при­вле­че­ни­ем спе­ци­а­ли­стов всех за­ин­те­ре­со­ван­ных под­раз­де­ле­ний. Также в банке осу­ществ­ля­ет­ся ана­лиз биз­нес-про­цес­сов, поз­во­ля­ю­щий вы­явить в них де­фек­ты, ко­то­рые затем устра­ня­ют­ся спе­ци­а­ли­зи­ро­ван­ны­ми уз­ко­про­филь­ны­ми подразделениями.

Все вновь вы­стра­и­ва­е­мые, а также уже су­ще­ству­ю­щие биз­нес-про­цес­сы ана­ли­зи­ру­ют­ся под­раз­де­ле­ни­ем опе­ра­ци­он­ных рис­ков. Про­цес­сы с вы­яв­лен­ны­ми су­ще­ствен­ны­ми недо­стат­ка­ми фик­си­ру­ют­ся в со­от­вет­ству­ю­щем ре­ест­ре и ста­вят­ся на контроль.

В банке ор­га­ни­зо­ва­на си­сте­ма ре­ест­ров, при­зван­ная обес­пе­чи­вать струк­ту­ри­ро­ван­ное хра­не­ние с целью даль­ней­ше­го ана­ли­за раз­лич­ной спе­ци­а­ли­зи­ро­ван­ной ин­фор­ма­ции. Эта си­сте­ма вклю­ча­ет в себя груп­пу внут­рен­них ре­ест­ров (ко­то­рая, в свою оче­редь, вклю­ча­ет в себя ре­естр рис­ко­вых со­бы­тий, ре­естр опе­ра­ци­он­ных рис­ков и ре­зуль­та­ты са­мо­оцен­ки под­раз­де­ле­ний) и внеш­ний ре­естр рис­ко­вых событий.

Ре­естр рис­ко­вых со­бы­тий пред­став­ля­ет собой свод ин­фор­ма­ции о рис­ко­вых со­бы­ти­ях в банке. Ре­естр опе­ра­ци­он­ных рис­ков пред­став­ля­ет собой пе­ре­чень вы­яв­лен­ных про­блем (или опе­ра­ци­он­ных рис­ков) в банке (в том числе на ос­но­ве ана­ли­за ре­ест­ра рис­ко­вых со­бы­тий). Вы­яв­лен­ный опе­ра­ци­он­ный риск — это все­гда ре­зуль­тат ана­ли­за со­во­куп­но­сти раз­лич­ных фак­то­ров, усло­вий и окру­жа­ю­щей среды рас­смат­ри­ва­е­мой системы.

Ре­естр с ре­зуль­та­та­ми са­мо­оцен­ки пред­став­ля­ет собой свод от­ве­тов на по­став­лен­ные под­раз­де­ле­ни­ям в ходе про­ве­де­ния са­мо­оцен­ки во­про­сы. Внеш­ний ре­естр рис­ко­вых со­бы­тий пред­став­ля­ет собой хра­ни­ли­ще дан­ных о рис­ко­вых со­бы­ти­ях, имев­ших место в дру­гих кре­дит­ных ор­га­ни­за­ци­ях. Ве­де­ние и за­пол­не­ние этого ре­ест­ра осу­ществ­ля­ет­ся на ос­но­ве об­ще­до­ступ­ных ис­точ­ни­ков ин­фор­ма­ции (в первую оче­редь СМИ).

Чтобы обес­пе­чить ста­биль­ность биз­нес-про­цес­сов и вы­яв­лять в них сла­бые места и по­тен­ци­аль­но опас­ные зоны, осо­бен­но силь­но под­вер­жен­ные опе­ра­ци­он­но­му риску, банк ис­поль­зу­ет раз­лич­ные ин­фор­ма­ци­он­но-про­грамм­ные ком­плек­сы — спе­ци­а­ли­зи­ро­ван­ное ПО для вы­яв­ле­ния и кон­тро­ля мо­шен­ни­че­ских опе­ра­ций, обес­пе­че­ния ра­бо­то­спо­соб­но­сти си­стем банка, без­опас­но­сти си­стем банка и др.

ИТ-де­пар­та­мент и риски

Риски воз­ник­но­ве­ния убыт­ков рас­тут при несо­раз­мер­но­сти, недо­ста­точ­но­сти функ­ци­о­наль­ных воз­мож­но­стей, от­ка­зах либо на­ру­ше­ни­ях функ­ци­о­ни­ро­ва­ния ин­фор­ма­ци­он­ных, тех­но­ло­ги­че­ских и дру­гих си­стем, при­ме­ня­е­мых кре­дит­ной ор­га­ни­за­ци­ей. В ходе раз­вер­ты­ва­ния новых биз­нес-про­цес­сов про­ис­хо­дит де­таль­ная про­ра­бот­ка тре­бо­ва­ний биз­не­са, что поз­во­ля­ет ми­ни­ми­зи­ро­вать слу­чаи недо­ста­точ­но­сти функ­ци­о­наль­ных воз­мож­но­стей ин­фор­ма­ци­он­ных си­стем, рас­ска­зы­ва­ет Ан­дрей Эз­ро­хи, ру­ко­во­ди­тель де­пар­та­мен­та ин­фор­ма­ци­он­ных тех­но­ло­гий банка «Ре­нес­санс Ка­пи­тал». На се­го­дняш­ний день клю­че­вая цель ИТ-де­пар­та­мен­та — обес­пе­че­ние ста­биль­но­сти их функ­ци­о­ни­ро­ва­ния. Осу­ществ­ля­ет­ся тща­тель­ное те­сти­ро­ва­ние всех из­ме­не­ний перед вво­дом ин­фор­ма­ци­он­ных си­стем в про­мыш­лен­ную экс­плу­а­та­цию. Зна­чи­тель­ные из­ме­не­ния вно­сят­ся не чаще чем раз в квар­тал, и толь­ко после про­вер­ки их вли­я­ния на каж­дый этап про­цес­са вы­да­чи кредитов.

На всех эта­пах, на ко­то­рых может про­изой­ти сбой, бан­ком преду­смот­ре­ны ре­зерв­ные мощ­но­сти — ре­зерв­ные ка­на­лы связи, сер­ве­ры и т. д. Со­зда­на си­сте­ма мо­ни­то­рин­га до­ступ­но­сти клю­че­вых сер­ви­сов, она поз­во­ля­ет свое­вре­мен­но вы­яв­лять слу­чаи сни­же­ния ра­бо­то­спо­соб­но­сти и при­ни­мать со­от­вет­ству­ю­щие меры.

Еще одной при­чи­ной роста рис­ков убыт­ков яв­ля­ет­ся неустой­чи­вость биз­нес-про­цес­сов ор­га­ни­за­ции к неосто­рож­ным (воз­мож­но, зло­на­ме­рен­ным) дей­стви­ям пер­со­на­ла и дру­гих лиц или их без­дей­ствию. В связи с этим все биз­нес-про­цес­сы банка про­хо­дят со­гла­со­ва­ние, в ко­то­ром при­ни­ма­ют уча­стие управ­ле­ние фи­нан­со­во­го мо­ни­то­рин­га и де­пар­та­мент внут­рен­не­го кон­тро­ля и ауди­та. Бла­го­да­ря уча­стию этих де­пар­та­мен­тов вы­яв­ля­ет­ся, какие риски могут воз­ник­нуть в каж­дом биз­нес-про­цес­се, и опре­де­ля­ет­ся, какие меры кон­тро­ля долж­ны быть внед­ре­ны в дан­ный биз­нес-про­цесс для ми­ни­ми­за­ции рисков.