Влияние операционных рисков на стратегию ИТ узкопрофильного ипотечного банка

Сумин Д.В.
выпускник группы MBA CIO-26
Школа IT-менеджмента
РАНХиГС при Президенте РФ

В современном мире, трудно себе представить жизнь без окружающих нас технологий. Мы уже практически всегда используем, какие либо упрощающие наш быт устройства. С одной стороны это делает нашу жизнь легче и интереснее, позволяя нам все более и более быстро обмениваться информацией, а с другой это ставит нас в зависимость от тех самых технологий, которые мы используем каждый день.

В бизнесе ситуация еще более зависима от технологий, которые компании применяют для успехов в конкурентной борьбе. Не исключение и финансовый сектор бизнеса, который, по сути, на сегодняшний день, уже просто не мыслим без применения Информационных Технологий. Но как уже было упомянуто выше, технологии делают бизнес зависимым, и значит уязвимым. Тому, как уменьшить эту зависимость и избежать серьезных потерь, из-за реализации рисков, посвящена эта дипломная работа. Риски, связанные с информационными технологиями в современном банковском бизнесе, такие как, как сбои, ошибки, не совершенность внутренних процессов ИТ, все это будет рассматриваться с разных точек зрения. Так же, в работе рассматриваются практические методики оценки рисков использования  информационных систем и то, как с помощью изменения  ИТ стратегии можно влиять на  уровень таких рисков. В первую очередь хочется разобрать понятие операционного риска в финансовой организации типа Банк, т.к. именно в него входят риски ИТ.

В первой главе работы рассматривается вопрос необходимости включения ИТ-Рисков в операционные риски. Приводятся разные аргументы в пользу такого подхода, а также рассматривается ряд исследований. Несмотря на это, во многих банках до текущего времени ИТ-риски либо вообще не учитываются, либо существуют отдельно от операционных рисков. Операционный риск, иногда называемый «риском бремени», заложенным в способности банка предоставлять финансовые услуги и быть прибыльным. При этом в равной степени важны как предоставление услуг, так и способность контролировать расходы, связанные с предоставлением этих услуг. Операционный риск частично относится к технологическому риску и может являться результатом неправильного срабатывания технологии или сбоев в системах поддержки операционной функции банка. К сожалению, как правило, банки недооценивают риски, связанные с использованием информационных технологий, хотя бизнес-процессы, происходящие в типичном банке, практически напрямую зависят от информационных технологии  и каналов связи. В случае сбоя или остановок в работе компонентов информационной систем банка, полного  или существенного замедления операционной деятельности избежать не удается. Независимые исследования, проведенные несколько лет назад на территории СНГ, показали, что если результатом преднамеренных или случайных действий системного администратора, вирусной атаки или аппаратного сбоя явилось уничтожение базы данных информационной системы банка, то:

• лишь 15% банков смогли бы восстановить операционную деятельность день в день;
• 60% банков понадобилось бы для этого от двух до четырех дней;
• 25% банков восстанавливали бы свою деятельность пять и более рабочих дней.

Такой уровень зависимости не может не вызывать обеспокоенности руководства банка и попыток поиска «лекарства» для предотвращения таких последствий или по крайней мере уменьшения их влияния на бизнес.

Во второй части работы рассматривается методика и принципы создания IT Risk Framework и его взаимосвязь с общим подходом к учету рисков в организации. Существует несколько методик оценки информационных рисков. В данной работе рассмотрена оригинальная методика, которая основана на определении зрелости процессов ИТ. Оценка происходит путем сравнения заданных значений параметров или характеристик основных процессов в ИТ банка, которые должны существовать на ряду с рядовыми бизнес-процессами организации, к примеру с таким как процесс ежедневная сверка баланса банка. Эта методика основана на использовании лучших практик, таких как ITIL, COBIT, ISO27000, анализа степени и правильности их использования в организации. Производиться расчета текущих показателей риска на основе предварительной оценки присущего риска. Очень важно понимать, что несмотря на изложенную методику и кажущееся сходство с процессом аудита эта методика не может быть применена, без ее модернизации, для процесса аудита ИТ. Это происходит потому, что в основу методики заложена необходимость глубоких знаний существующих процессов и процедур ИТ в банке, использование этого подхода позволяет наиболее точно, в случае внутренней заинтересованности, желания правильно оценить риски, определить текущий уровень зрелости информационных систем в банке, а также разработать адекватные меры для улучшения ситуации. При оценке факторов присущего риска, можно также учитывать определенную специфику банка, уменьшая или увеличивая стартовые показатели «индексы риска». Это дает возможность добиться наиболее точных результатов. Конечно же результаты оценки должны использоваться в аудите ИТ, это так же одна из составляющих IT Risk Framework.
В заключительной части работы, приводиться пример реальной оценки коммерческого банка, монопродуктового типа, что позволяет в упрощенной форме понять методику оценки. Оценка начинается с определения текущих присущих рисков, затем производиться анализ текущей ситуации (на примере одного направления) и расчет показателей остаточного риска. Имея эти параметры можно с помощью обратного анализа достаточно легко определить, что должно быть изменено в текущей стратегии или тактике ИТ для скорейшего уменьшения рисков.