Использование информационных систем при осуществлении финансовых операций
Правильное осуществление сделок зависит не только от взаимодействия сотрудников и наличия системы внутреннего контроля. В настоящее время все основные операции в финансовых учреждениях – от заключения сделок до их отражения в бухгалтерском учете – в основном обрабатываются компьютерными информационными системами (ИС).
Такие системы являются важным предметом исследования операционного риск-менеджмента, ставящего своей целью контроль за потоками информации. Проблемы в области информационных технологий (ИТ) косвенно могут стать причиной значительных финансовых потерь, например в виде штрафов за нелицензионное программное обеспечение, расходов на закупку техники, вынужденных задержек в обработке данных.
Ввиду этого в финансовых компаниях предъявляются все более жесткие требования к надежности и функциональности информационных систем. Так, Группа тридцати (The Group of Thirty – G30) в своих рекомендациях по практике и принципам операций с производными инструментами обращает внимание на «адекватность систем ввода, обработки данных, проведения расчетов и подготовки отчетов руководству, что обеспечивает выполнение операций с производными инструментами в соответствии с утвержденным регламентом» (Рекомендация № 17).
Главной целью контроля за использованием ИС является предотвращение несанкционированных изменений нормативно-справочной информации и изменения параметров автоматических расчетов, ввода неправильной информации о сделках и их авторизации. В качестве предупредительных мероприятий в сфере ИТ рекомендуется регулярное резервное копирование данных и защита информационных систем от внешних атак и компьютерных вирусов.
Организация информационных систем
Типичная структура информационных систем представлена на рис. 1.
Рис. 1. Структура информационной системы
Точность, полнота, достоверность и доступность – основные критерии качества информации, которые следует учитывать, анализируя такие особенности ИС, как уровень централизации данных, используемые виды программного обеспечения, их интеграция между собой и безопасность электронной информации. Дополнительными (но не менее важными) требованиями являются ее целостность, своевременность, ограниченность доступа.
Хранение информации в централизованной базе данных позволяет отслеживать всю деятельность компании и эффективно управлять рисками в целом по компании, имея возможность анализировать каждую операцию или сделку в отдельности. Однако централизация информации еще не означает, что существует единое программное обеспечение (ПО), которое полностью автоматизирует обработку всех операций, осуществляющихся в компании.
Поскольку различные системы могут использоваться для получения информации из внешних источников, обработки операций, подготовки аналитических отчетов и составления прогнозов, возникает проблема интеграции разнородных информационных ресурсов. Полностью универсальные системы для учета всех продуктов, операций, стадий их обработки вряд ли существуют.
Хотя некоторые компании стремятся самостоятельно создать такие системы, в основном используется другой подход, который заключается в том, чтобы пробрести более простые, настраиваемые системы и адаптировать их под деятельность конкретной финансовой организации в соответствии со спецификой ее деятельности. В итоге единая информационная сеть состоит из нескольких взаимосвязанных многофункциональных приложений, работающих в режиме реального времени с централизованной базой данных (рис. 2).
Поиск оптимального баланса между постоянством информационной системы и ее функциональностью и адаптируемостью представляет собой сложную задачу, решение которой требует сочетания информационных технологий и методик управления финансовыми рисками.
Помимо технологических аспектов построения информационной системы важное значение для операционного риск-менеджмента имеют принципы информационной безопасности в компьютерной среде.
Эти требования должны быть реализованы на всех уровнях и на всех этапах обработки информации в системе: как на уровне приложений, так и на уровне хранения данных; как на этапе ввода данных, так и на этапе автоматических процедур. После ввода, верификации и авторизации операций объем ручной работы с информацией должен быть минимален (рис. 3).
Рис. 3. Процедура ввода данных об операциях
Приведем некоторые правила информационной безопасности, изложенные в «Общепринятых принципах управления риском» (Generally Accepted Risk Principles) [8].
Принцип № 86. Защита системы и модели
Техническая организация ИТ должна обеспечивать необходимый уровень защиты данных для обеспечения целостности и конфиденциальности информации, а также информационных систем и моделей фирмы. Безопасность ИТ включает себя следующие элементы.
Права доступа
Во всех системах должны разграничиваться права доступа к информации в зависимости от функций и полномочий сотрудников, работающих с данными системами.
Контроль за действиями пользователей
Все пользователи должны работать в системе под своим сетевым именем и уникальным паролем, который должен периодически меняться. Все действия работников должны регистрироваться в автоматическом журнале операций.
Безопасность данных
Аналогичные процедуры защиты информации должны предотвратить несанкционированный доступ к данным из внешних сетей (Интернета). При передаче конфиденциальных данных по открытым каналам связи необходимо использовать методы криптографической защиты электронной информации.
Защита моделей
С целью обеспечения безопасности и целостности финансовых моделей следует периодически проводить аудит информационных систем для подтверждения достоверности автоматических процедур, алгоритмов и методов, реализованных в виде программных приложений.
Принцип № 87. Резервирование, восстановление данных и планирование на случай непредвиденных обстоятельств
Техническая организация ИТ должна предусматривать адекватные процедуры по резервированию и восстановлению информации, гарантирующие, что фирма может успешно справляться со сбоями или отказами оборудования, программного обеспечения или телекоммуникаций на приемлемом уровне. В компании должен присутствовать актуальный план на случай возникновения непредвиденных обстоятельств.
План действий на случай возникновения чрезвычайных ситуаций
Процедуры восстановления информационных систем должны быть заранее разработаны и протестированы на случай технических сбоев. Работоспособность системы должна быть восстановлена в кратчайшие сроки либо на другой рабочей станции, либо в другом здании. С этой целью используются резервные копии баз данных и резервное оборудование.
Предотвращение возможных технологических сбоев
Некоторые технологические сбои должны быть изначально предусмотрены и предотвращены для обеспечения непрерывного функционирования всей системы.
Резервное копирование
Резервное копирование всей информации о деятельности компании должно проводиться, по крайней мере ежедневно, на внешний носитель, который должен храниться в надежном месте. Желательно стремиться к копированию актуальной информации на резервный носитель в режиме реального времени.
Технические ресурсы
Необходимые технические ресурсы должны быть в наличии для круглосуточного поддержания информационной системы независимо от возникающих сбоев.
Помимо этого руководство компании должно разработать и утвердить документы, регламентирующие все вышеописанные процедуры и требования к ИС.
- Краткий обзор Нового базельского соглашения по капиталу
- Модель управления активами и пассивами (ALM)
- Метод сигналов
- Подход на основе регрессионного анализа
- Модели возникновения финансовых кризисов
- Минимальные требования к достаточности капитала с учетом кредитного и рыночного рисков
- Подход на основе внутренних моделей банков. Верификация моделей расчета VaR по историческим данным
- Подход на основе внутренних моделей банков. Количественные критерии
- Подход на основе внутренних моделей банков. Качественные критерии
