Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Создавалась УРСИТ Федеральным советом по проверкам финансовых учреждений [139] , который является общим методическим органом для учреждений США, выполняющих регулятивно-надзорные функции в банковской системе, — основные из них: Федеральная резервная система (FRS), Управление контролера денежного обращения (ОСС) и Федеральная корпорация страхования депозитов (FDIC) [140] . В описании УРСИТ, официально зарегистрированной в США’, указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании
139
Federal Financial Institutions Examination Council (FFIEC).
140
УРСИТ используется также Управлением по надзору за сберегательными учреждениями (OTS).
Основная цель применения УРСИТ заключается в выявлении таких организаций, чьи состояние или работа в части выполнения функций, реализуемых информационными технологиями, требуют специального контроля со стороны надзора. Эта рейтинговая система помогает проверяющим в оценке риска и описании установленных в ходе проверки фактов, поэтому система включает описания так называемых «компонентных» и «суммарных» (композитных) рейтингов, а также идентификацию рисков и оцениваемых факторов, которые учитываются при присвоении компонентных рейтингов. В рамках УРСИТ любое из контролируемых (проверяемых) финансовых учреждений или провайдеров услуг получает композитную рейтинговую оценку, которая основана на оценивании и присваивании рейтингов четырем компонентам, характеризующим деятельность организаций в части ИТ. Этими компонентами являются, по сути, четыре внутренних процедуры в самой организации, а именно:
1) проведение аудита ИТ;
2) управленческая деятельность в части ИТ;
3) организация системных разработок и приобретений;
4) организация поддержки и сопровождения ИТ.
Как для суммарного, так и для компонентных рейтингов используются цифровые оценки в диапазоне от 1 до 5 (соответственно от наилучшего случая к наихудшему). Итоговый рейтинг ассоциирован со следующими экспертными оценками (формулировками):
1 — безупречное функционирование;
2 — надежное и устойчивое функционирование;
3 — требуется незначительное надзорное внимание;
4 — ненадежные и неустойчивые условия работы;
5 — критическая операционная ситуация.
Основным назначением суммарного рейтинга является идентификация тех финансовых учреждений и провайдеров услуг, которые обнаруживают слишком большую уязвимость к рискам, ассоциируемым с информационными технологиями. Поэтому отдельной подверженности риску, которая явно влияет на жизнеспособность данной организации и (или) ее клиентов, должен присваиваться более высокий весовой коэффициент в суммарном рейтинге.
Суммарный рейтинг получается посредством суммирования качественных оценок [141] всех четырех компонентов. Между суммарным рейтингом и компонентными рейтингами функционирования существует связь, в то же время суммарный рейтинг не является арифметическим средним его компонентов. При использовании риск-ориентированного подхода простой арифметический расчет не отражает реального состояния ИТ. Любой низкий рейтинг одного компонента может сильно повлиять на общий суммарный рейтинг для того или иного учреждения. К примеру, если функция аудита реализуется неадекватно, то целостность автоматизированных систем как таковую нельзя с уверенностью подтвердить. Подходящим обычно оказывается значение суммарного рейтинга, не дотягивающее до удовлетворительного («3» — «5»), Таким образом, система УРСИТ имеет пирамидальную структуру, которая представлена на рис. 5.5. В его нижней части показана «плоскость рейтинговых компонентов», т. е. некая воображаемая область
группирования первичных выводов, в которой овалы имеют условный радиус, равный 5, а радиальные линии представляют собой оси оценок. Пунктирами показаны своего рода конусы, сводящие компонентные рейтинги в значения суммарных рейтингов (собственно частные оценки не показаны, чтобы не загромождать рисунок, — предполагается, что это метки на радиусах, от которых отходят вверх линии «логических выводов»).141
В оригинале использован термин «качественное суммирование» — qualitative summarization.
Можно обратить внимание на сходство представленной иллюстрации с конструкцией, изображенной на рис. 2.1, что свидетельствует о возможности объединения рассмотренных подходов.
Четыре основных компонента УРСИТ, определяемых так же, как основные составные части деятельности организаций в области ИТ — «Аудит», «Менеджмент», «Разработка и приобретения», «Поддержка и сопровождение», — используются для оценки так называемых «общих характеристик» функционирования организаций в части ИТ. Композитные рейтинги ИТ и каждый компонентный рейтинг определяются по шкале от 1 до 5 в нисходящем порядке по степени надзорного внимания:
1 представляет наивысший рейтинг и интерпретируется как наилучшее функционирование проверенной организации и управление в ней при достаточности наименьшего внимания со стороны надзора, тогда как 5 представляет самый низкий рейтинг и интерпретируется как наихудшее функционирование организации и управление в ней, требующее наибольшего внимания со стороны банковского надзора.
1. В части аудита рассматриваются:
— независимость;
— адекватность применяемой методики анализа риска;
— масштаб охвата;
— участие в разработках, закупках аппаратно-программных средств и т. п.;
— планирование аудиторских мероприятий;
— квалификация и компетентность специалистов;
— периодичность проведения и последующий контроль.
2. Оценка деятельности руководства кредитной организации осуществляется по следующим показателям:
— степень и качество наблюдения со стороны совета директоров и высшего руководства банка за информационными технологиями;
— планирование новых видов деятельности;
— реакция на изменяющиеся условия;
— организация внутренней отчетности и информирование руководства;
— адекватность внутренней политики банка и средств контроля;
— эффективность системы мониторинга рисков;
— содержание и качество договоров с провайдерами и клиентами.
3. Оценка процессов разработки и приобретения учитывает:
— организационную структуру кредитной организации;
— контроль над системными разработками и процессами приобретения;
— адекватность организации ЖЦ разрабатываемых систем и принятых стандартов программирования;
— обеспечение качества разработок и контроль над внесением изменений;
— документарное обеспечение банковских автоматизированных систем;
— обеспечение целостности и безопасности вычислительных сетей, а также системного и прикладного программного обеспечения.
Кстати, можно заметить, что первоначально в рассматриваемой рейтинговой системе вместо «Процессы разработки и приобретения» и «Процессы поддержки и сопровождения» фигурировали «Системные разработки и программирование» и «Операции».
4. Поддержка и сопровождение в кредитной организации рассматриваются со следующих позиций:
— возможности предоставления банковских услуг и удовлетворение требований бизнеса;
— планирование в целях обеспечения непрерывности работы функциональных систем и ее контроль;
— планирование и контроль производительности и функциональных возможностей банковских автоматизированных систем;
— политика, процедуры и практика ОИБ;
— содержание и качество контрактов с провайдерами;