Сам себе аудитор

ОБЛАСТЬ ПРИМЕНЕНИЯ

Сразу оговоримся: предлагаемая методика носит инструментальный характер и обладает ограниченной областью применения. Она не может и не призвана заменить полноформатный аудит, проводимый специализированными организациями и дорогостоящими узкими специалистами − внешними аудиторами рисков информационной безопасности.

Уже после осуществления экстренных мер, решающих проблемы, выявленные инструментальной экспресс-методикой, разумно провести более детальную и подробную оценку рисков, уже с привлечением квалифицированных внешних аудиторов информационной безопасности. Полученные подробные результаты будут иметь стратегическое значение на долгосрочный период. Однако их получение потребует немало времени и значительных ресурсов, которых критически не хватает именно тогда, когда нужно.

Предлагаемая методика характеризуется своей областью применения. Преимущества методики комплексной экспресс-оценки несомненны там и тогда, где риски ДБО нужно выявить в минимально короткие сроки, обойдясь исключительно имеющимися в наличии ресурсами. Таким образом, методика экспресс-аудита может быть эффективно использована для срочного снижения наиболее явных операционных рисков системы ДБО.

ЭКCПРЕСС-ИНСТРУМЕНТАРИЙ

Электронный банкинг постепенно входит в повседневную жизнь и становится неотъемлемой частью сервисов, предоставляемых кредитно-финансовыми организациями. Вместе с тем в их деятельность привносится целый ряд специфических рисков (подробнее об этом см. Павел Хижняк, «Управление рисками в электронной коммерции» // «BIS Journal − Информационная безопасность банков» №4 (07) 2012 г., С. 50 − 53).

Рисками потенциальных конфликтов между банком и его клиентами обременены в первую очередь следующие моменты ДБО:

• требование соответствия сервисов ДБО указаниям регуляторов и нормативно-правовой базе данной области;
• обеспечение безопасности обезличенных каналов обмена данными между банковской системой и клиентом − высокая степень автоматизации существенно снижает возможности контроля операций и вмешательства со стороны сотрудников банка;
• поддержание постоянной абсолютной доступности системы ДБО;
• задача технологически не отставать от конкурентов или идти на шаг вперёд.

Чреваты различными рисками и другие аспекты функционирования систем ДБО.

Вопрос операционных рисков банковской отрасли обострился и на международном уровне. Новое международное Базельское соглашение по капиталу Базель II (Basel II Capital Accord) требует оценки и управления операционными рисками всех банковских операций. Во многих странах регуляторы в качестве приоритетного метода оценки обычно называют измерение экономической стоимости риска, т.е. возможных потерь (VaR).

Суть методики VaR заключается в переводе уровня рисков предприятия в денежные единицы. Статистика ущерба  за долгий срок используется для расчета изменчивости и вероятности рисков. По этой причине данный метод не применим для электронного банкинга, который появился сравнительно недавно, и достоверных данных об ущербе пока не так много. Кроме того, операционный риск в работе ДБО связан с рядом качественных факторов, которые с трудом поддаются количественной оценке.

Чтобы дополнить инструментарий VaR, специалисты разработали специальные методики оценки и управления операционными рисков в информационных системах, в том числе ДБО. Эти методики представляют сочетание профессиональной экспертизы и процедуры самооценки, индекс уровня риска рассчитывается на основании его различных факторов.

Границей применения подобных методик является несопоставимость результатов обследований друг с другом, так как каждое из них сильно зависит от различных конкретных параметров самого объекта и внешних условий. Тем не менее, возможно сочетание результатов экспертиз, проведённых профессиональным аналитиком рисков и просто пользователями системы. Такая совместная экспертиза позволяет достаточно надёжно количественно оценить операционные риски, которым подвергается банк, и определить критические области для дальнейшего углублённого изучения.

КОМПЛЕКСНАЯ МЕТОДОЛОГИЯ

Комплексная методология объединяет 3 основных инструмента оценки операционных рисков информационных систем (ИС):

• самооценку пользователей;
• экспертное мнение внутреннего аудитора ИС;
• учёт основных факторов риска.

Процесс внутреннего аудита проходит в следующем порядке. Сначала сотрудник банка, выполняющий оценку, обследует операции электронного банкинга и определяет критические области риска. На основании выделенных областей риска устанавливаются рамки последующего обследования и готовятся анкеты для бизнес-пользователей − сотрудников банка, работающих с ИС на прикладном уровне, не имеющих глубоких познаний в области IT. Они самостоятельно оценивают уровень рисков, отвечая на вопросы в структурированной анкете.

Аудитор собирает ответы, вводя результаты в электронные таблицы для расчета рисков в различных областях. Необходимо, чтобы он обладал достаточным опытом работы с банковскими процессами и имел представление об основных областях и факторах риска. Бизнес-пользователи, в свою очередь, должны обладать достаточными знаниями о ежедневных операциях системы ДБО, чтобы давать правильные оценки в анкетах.

Достоверность результатов исследования напрямую зависит от степени активного участия и сотрудничества аналитика рисков и бизнес-пользователей. Каждая из сторон по-своему видит объект в целом и делает свой вклад в общую картину. Внутренний аудитор способен определить ключевые области риска, но не может знать в деталях повседневной операционной деятельности. Напротив, бизнес-пользователи знакомы на практике с особенностями текущей работы, но не представляют себе общей картины. Кроме того, они могут скрывать определенные риски от аудитора, чтобы не создавать себе лишних, на их взгляд, трудностей.

Комплексный подход в оценке рисков имеет массу преимуществ: аудитор может сфокусироваться на важных качественных параметрах риска, пока бизнес-пользователи легко оценивают риски по 4-балльной шкале. При этом, если в исследовании участвует достаточное количество бизнес-пользователей, методика позволяет получить беспристрастные результаты, свободные от влияния субъективности отдельных из них или аудитора.

Если же аудитор потребует поголовного участия всех бизнес-пользователей банка, результатом будут абсолютно объективные усреднённые показатели. Наконец, результаты исследования легко трансформируются в графический вид для презентации топ-менеджменту, помогая легче определить конкретные области рисков при выработке стратегии риск-менеджмента.

ПРОЦЕДУРЫ ОЦЕНКИ ОПЕРАЦИОННЫХ РИСКОВ

Оценка операционных рисков информационных систем по комплексной методике происходит в несколько этапов.

1. Анализ и оценка корпоративной стратегии

Внутренний аудитор должен подготовить доклад с перечислением стратегических целей банка, достижению которых служит электронный банкинг. Для этого необходимо опросить ключевых руководителей банка, ответственных за банковские операции и принимающих решения в области электронных банковских услуг. Определяя приемлемые уровни подверженности рискам, аналитик должны сосредоточиться на трёх основных областях − стратегических целях, корпоративном управлении и политике менеджмента.

Среди стратегических целей банка выделяются те, достижению которых служит функционирование системы ДБО.

В корпоративном управлении вычленяются бизнес-единицы, задействованные в ДБО, в случае работы банка как по централизованной, так и по децентрализованной схеме.

В сфере политики менеджмента нужно:

• определить роль и обязанности каждой бизнес-единицы в ДБО,
• выделить политики и процедуры менеджмента операционных рисков,
• выявить основные принципы существующего менеджмента операционных рисков,
• задать максимальный приемлемый уровень риска,
• определить методологию управления операционными рисками.

2. Определение рисков

Ключевые функции ДБО внутренний аудитор должен перечислить и привести риски каждой. Причём «в чистом виде», без учёта каких бы то ни было предпринимаемых или возможных мер контроля или снижения рисков. В первую очередь следует определить, какие функции, услуги и сервисы предоставляются электронным банкингом, каковы типы обнаруженных операционных рисков, каким образом они присущи каждой из функций, используемых бизнес-единицами в постоянных процессах.

Аудитор должен провести SWOT-анализ (оценку сильных и слабых сторон, возможностей и угроз), чтобы оценить все сильные и слабые стороны внутренней и внешней информационной среды, определить актуальные и потенциальные угрозы. Уровень операционных рисков, которым подвержен банк, определяется по результатам выводов SWOT-анализа.

3. Описание точек контроля и возможного снижения рисков

За основу берутся все риски, выявленные на предыдущем этапе. Для каждого риска указываются все точки снижения, необходимые меры и механизмы контроля для его митигации − снижения до приемлемого уровня. Внутренние аудиторы должны рассмотреть все предпринимаемые меры механизмы контроля, используемые для снижения рисков. Оценке подлежат выделенные ресурсы и объемы затраты на каждый механизм контроля. Итогом этого этапа является полный список ключевых рисков, которым подвергается система ДБО банка, список основных точек их снижения и механизмов контроля.

4. Оценка рисков

Это процедура, в ходе которой внутренний аудитор должен определить уровень остаточных рисков после применения всех контрольных механизмов, эффективность осуществляемого контроля, «чувствительные» области риска, а также выявить сотрудников компании, ответственных за применение механизмов контроля, и оценить их эффективность.

В конце этого этапа аудитор сможет оценить остаточный риск, а также выявить области, где риск был устранен или снижен до незначительного. Отделив их от областей, где риски сохраняются на относительно высоком уровне. Общая оценка риска представляет собой процесс, основанный на экспертном мнении. Аудитор использует свои профессиональные знания для оценки результатов обзора, выявляя основные факторы риска и чувствительные области для дальнейшего расследования.

В ходе поэтапного выполнения первых четырёх процедур выявляются и фиксируются:

• количество и тип информационных систем ДБО;
• бизнес-единицы, задействованные в ДБО,
• функциональность и задачи каждой бизнес-единицы в системе электронного банкинга.

Внутренний аудитор на основании профессионального опыта оценивает роль каждой бизнес-единицы и каждого фрагмента информационной системы в электронном банкинге. Кроме того, даётся первичная оценка уровню риска и определяются области, наиболее значимые для дальнейшего изучения. По итогам составляется упорядоченный список всех БЕ и ИС, ранжированный по их важности, открывающий аудитору возможность избирательного подхода.

Итогом первых четырёх этапов оценки является идентификация и документирование рисков, присущих функциям и операциям ДБО в русле стратегических целей банка, а также предпринимаемых мер снижения рисков и используемых механизмов контроля их действенности.

5. Измерение рисков

На этом этапе аудитор обращается непосредственно к бизнес-пользователям − участникам бизнес-процессов ДБО. Возможно, в ходе личных встреч с руководителем, но более продуктивно общение сразу с несколькими ведущими сотрудниками каждой бизнес-единицы. Итоги документируются в 2 формах − описывающих характер деятельности бизнес-единицы и используемые ее сотрудниками средства ДБО.

a. Деятельность бизнес-единицы. Форма деятельности используется для указания основных бизнес-процессов, в которых участвует БЕ. Она позволяет риск-аналитику выявить основные приложения и ИС, связанные с электронным банкингом.

b. Функциональность и ограничения приложения или подсистемы. Эта форма описания позволяет риск-аналитику получить больше информации об системах ДБО, фиксируя характеристики приложений и подсистем, используемых данной БЕ.

c. Выявление ключевых факторов риска. После интервью с сотрудниками БЕ внутренний аудитор определяет степень участия БЕ в бизнес-процессах ДБО и присущие этому риски. Анализ данных, внесённых в формы деятельности БЕ и описания приложений, даёт аналитику возможность детально разобраться в функциональности ДБО и связанных с нею рисках. Он определяет ключевые факторы, критически влияющие на операционные риски банка (КФР). Очевидно, что набор КФР зависит как от особенностей бизнес-процессов, так и от опытности аудитора. Как показывает практика, внутренние аудиторы с одинаковым багажом опыта составляют схожие наборы КФР, что свидетельствует об относительной объективной ценности предлагаемой методики.

d. Самооценка. Следующий шаг − самостоятельная оценка уровня рисков пользователями. Инструментом служит форма оценки риска (ФОР): анкета, подготовленная внутренним аудитором и направленная каждому бизнес-пользователю интернет-банкинга − матрица, включающая ключевые факторы риска, выявленные ранее. Уровень риска каждого выявленного приложения предлагается оценить по 4-балльной  шкале, от «0» до «3».

e. Обработка данных. После получения всех ФОР от пользователей, аудитор переносит данные каждому пользователю в форму оценки риска приложений (ФОРП). Оценки, данные каждым из пользователей, переносятся и группируются по бизнес-единицам. Аудитор вычисляет средний балл на КФР для каждого приложения и каждой подсистемы по каждому БЕ и общий. Результаты сводятся в единый документ.

На заключительной стадии измеряются риски технической инфраструктуры, для чего применяется форма оценки риска технической инфраструктуры (ФОРТИ). Указывается средний риск, присущий и каждой функции ДБО, и каждому соответствующему элементу технической инфраструктуры.

6. Подготовка отчётов

Проведённый анализ позволяет внутреннему аудитору понять структуру рисков ДБО и определить области высоких рисков. Итогом оценки является отчёт для топ-менеджмента, который должен включать следующие разделы:

• обзор функциональности ДБО и общую оценку рисков;
• подробное перечисление ключевых факторов риска с указанием областей;
• ранжированный список рисков различных функций электронного банкинга и критических областей, с предлагаемыми мерами  митигации;
• технические риски инфраструктуры с планом действий для снижения рисков до приемлемого уровня и предложениями механизмов контроля.

Стать автором BIS Journal