Вход Регистрация
Подписка

Риски с немецким оттенком

26.10.2017

Новые инициативы в области нормативного регулирования стали реакцией надзорных органов (на примере Германии) на актуальные проблемы в сфере информационной безопасности

В последнее время в прессе все чаще появляются сообщения об ущербе, нанесенном IT-системам банков, и о возрастающих в связи с этим операционных рисках. Речь идет не только о внушительных денежных потерях, но и о негативном влиянии таких явлений на репутацию банка как надежного финансового партнера. Среди наиболее ярких примеров можно назвать повторные зачисления на счета и ошибочные переводы средств отдельными национальными банками, в мировом же масштабе — это участившиеся кибератаки или, например, многомиллионная кража из ЦБ Бангладеша. И это далеко не полный список всех известных нам примеров. Сегодня кредитно-финансовые институты по всему миру как никогда подвержены IT-рискам, а использование устаревших IT-инфраструктуры и программного обеспечения в банковской сфере лишь подливают масла в огонь.

Финансовый кризис также выявил другие виды инфраструктурных проблем. Стало ясно, что банки были не в состоянии справиться с проблемами по агрегированию рисков и необходимостью предоставления соответствующей отчетной информации. В результате для адекватного управления рисками и своевременного обнаружения грозящих банкам опасностей не хватило достоверных и надежных данных со стороны риск-менеджмента.

Реакция надзорных органов на актуальные проблемы в IT-сфере и сопряженные с ними риски последовала не так давно в виде ряда инициатив. На рис. 1 представлена хроника главных инициатив по регулированию IT-рисков, а также показаны ожидаемые перспективы их развития.

 

Однако пока надежды надзорных органов на изменение ситуации в связи действием наедавно внедренных инициатив не оправдались. Так, Андреас Домберт, член правления ЦБ Германии (Deutsche Bundesbank), в интервью немецкому изданию Bо¨ rsenzeitung от 27 апреля 2017 года предложил «сократить время расследования кибератак до 72 часов, так как по исследованиям банкам требуется в среднем 156 дней, чтобы обнаружить стороннее вмешательство в IT-систему».

Краткое описание инициатив в области нормативного регулирования

В центре внимания банков в Германии сегодня находятся три основные инициативы:

• пятая поправка к директиве «О минимальных требованиях к управлению рисками» (Minimum Requirements for Risk Management, MaRisk, далее — пятая поправка к MaRisk);

• требования к контролю системы управления IT-рисками в банковском секторе (Bankaufsichtliche Anforderungen an die IT, BAIT, далее — BAIT);

• принципы контроля системы управления рисками в сфере информационно-коммуникационных технологий (Guidelines on ICT Risk Assessment, ICT-Guideline, далее — принципы ИКТ).

Взаимосвязь этих трех инициатив представлена на рис. 2.

 

Проект пятой поправки к MaRisk

В 2016 году немецкие надзорные органы опубликовали проект пятой поправки к документу «О минимальных требованиях к управлению рисками» (MaRisk). Главное нововведение этой поправки коснулось главным образом минимальных требований к агрегированию рисков и предоставлению отчетности по ним. Согласно разделу AT 4.3.4 данного документа, глобальные системно значимые финансовые институты обязуются при агрегировании рисков следовать в своей деятельности первым шести принципам рекомендаций Базельского комитета по банковскому надзору BCBS 239. В них четко сформулированы минимальные требования к комплексности, точности, своевременности и полноте агрегирования рисков.

Кроме того, в разделе AT 7 подчеркивается необходимость выполнения минимальных требований, выдвигаемых к отдельным IT-решениям в рамках стандартных процессов всеми без исключения финансовыми институтами. Значительно возрастающие в связи с этим процессуальные сложности делают процедуру внедрения нестандартных/индивидуальных IT-решений (например, решений, реализованных в MS Excel, и т.п.) в стандартные процессы практически невыполнимой. Оба упомянутых выше нововведения в MaRisk должны в итоге способствовать значительному росту автоматизации агрегирования рисков в финансовых институтах.

В разделе BT 3 пятой поправки к MaRisk обобщены минимальные требования к предоставлению отчетности по рискам. Иными словами, в нем описаны следующие пять принципов (с 7-го по 11-й) BCBS 239. Таким образом, достоверная отчетность должна быть компклексной, постоянно обновляться и отражать информацию по всем значимым видам рисков. Основополагающая роль здесь отводится получению своевременных, актуальных и полноценных исходных данных о рисках, поэтому требования к качеству этих данных в итоге существенно возрастают.

Все кредитно-финансовые институты, подчиняющиеся MaRisk, обязаны соблюдать минимальные требования к предоставлению отчетности по рискам. Но реализация данной директивы немыслима без комплексного, но при этом пропорционального (в зависимости от размера и сложности организационной структуры) внедрения минимальных требований к агрегированию рисков. На это как раз и указывают надзорные органы в сопроводительном письме к проекту пятой поправки к MaRisk. Таким образом, ожидается, что небольшие и структурно менее сложные финансовые институты также будут придерживаться в своей работе минимальных требований к агрегированию рисков, хоть и с учетом принципа пропорциональности.

Глобальные системно значимые финансовые институты еще в 2015 году получили от надзорных органов конкретный документ с вышеупомянутыми дополнительными требованиями BCBS 239. На их реализацию отводилось три года с момента получения документа. Немаловажным стимулом в этой ситуации стало намерение надзорных органов в ближайшем будущем регулярно запрашивать соответствующую оговоренным выше требованиям отчетность по рискам. При этом банки будут обязаны предоставить отчетность в течение всего 10–15 дней после запроса регулятора.

Таким способом надзорные органы намереваются ускорить внедрение современной, хорошо автоматизированной IT-инфраструктуры вместе с необходимыми IT-процессами. Существующие на данный момент решения этой задачи предусматривают, как правило, наличие интегрированного хранилища данных, хотя четкие стандарты для этого до сих пор не разработаны.

Требования к контролю системы управления IT-рисками в банковском секторе (BAIT)

Несмотря на то что в рамках MaRisk рассматриваются способы возможного решения проблемы IT-рисков, надзорные органы считают необходимой дальнейшую конкретизацию предложенных решений. Это обусловлено накопленным за годы опытом по контролю IT-рисков, а также новыми видами IT-угроз. Дополнения MaRisk в сфере IT были представлены для рассмотрения в начале 2017 года. Планируется, что данный документ вступит в силу уже в 2017 году, одновременно с прочими требованиями MaRisk. Одной из главных целей BAIT является определение минимальных требований к контролю за управлением актуальными IT-рисками, например кибер-рисками и рисками, связанными с аутсорсингом информационных технологий.

Новые дополнения к требованиям BAIT побуждают банки, к которым данные требования применимы, приступить к немедленным действиям. Прежде всего необходимо составить базовый план мер в рамках управления информационными рисками. План должен определить путь реализации конкретных оговоренных мероприятий в целях достижения определенного уровня IT-защиты. Этот уровень определяется каждым финансовым институтом самостоятельно, но должен соответствовать реальному состоянию методов, процессов и систем управления информационными рисками в каждом конкретном банке. При этом уровень защиты банка должен быть четко определен и классифицирован по категориям. В документе также существенно расширены требования к IT-процессам в управлении рисками (BAIT, глава 3). Наряду с этим изменения коснулись управления информационной безопасностью. Специально для этого был сформулирован так называемый принцип информационной безопасности, который должен, в соответствии с IT-стратегией, определять цели всего процесса управления рисками, а также содержать основные организационные аспекты (BAIT, глава 4).

Кроме того, в BAIT подчеркивается необходимость разработки независимой IT-стратегии (BAIT, глава 1). Хотя многие банки уже внедрили и используют IT-стратегию, отдельные положения BAIT потребуют ее доработки. Причина заключается в четко сформулированных ожидаемых результатах, а также в отдельных абсолютно новых требованиях, выдвигаемых в отношении IT-стратегии. Таким образом, стратегически важно в первую очередь обеспечить всю сферу IT необходимыми ресурсами. При этом большое внимание при составлении бюджета должно уделяться кадровому обеспечению. Следующими шагами станут определение стратегической задачи IT-архитектуры, а также оценка степени реализации требуемых стандартов во всех IT-процессах.

Изданием BAIT надзорные органы преследовали две важные задачи:

• повысить качество IT-стратегий банков таким образом, чтобы они отражали реальное положение вещей и направление развития информационных технологий, но при этом могли бы учитывать сложность их практической реализации и связанные с ними изменения;

• поддерживать развитие современной системы управления IT-рисками, которая также объединяла бы все актуальные виды IT-рисков, например риски, связанные с кибератаками, аутсорсингом информационных технологий и проектные риски в рамках управления операционными рисками.

Принципы ИКТ

В начале 2017 года Европейское банковское управление (European Banking Authority, EBA) опубликовало для регуляторов рекомендательные принципы по контролю системы управления рисками в сфере информационно-коммуникационных технологий (ИКТ). Этот документ дополнил перечень нормативных требований в отношении управления достаточностью капитала «Процесс банковского надзора и оценки» (SREP). Несмотря на то что он адресован главным образом европейским органам банковского надзора, в нем содержатся косвенные требования для финансовых институтов.

Здесь частично прослеживается параллель с ранее упомянутыми требованиями к контролю системы управления IT-рисками в банковском секторе (BAIT). Принципы ИКТ также требуют разработки IT-стратегии. В этом контексте особенно подчеркивается связь принципов ИКТ с банковским планированием и внутренними процедурами оценки достаточности капитала (Internal Capital Adequacy Process, ICAAP). При этом необходимым условием для внедрения данных принципов является эффективное распределение ресурсов в целях оптимального обеспечения кадрами и техническими средствами IT-сферы банков. Это обеспечит плодотворную работу IT-систем и процессов, а также позволит успешно управлять рисками в данной сфере. Кроме того, приоритетным становится четкое распределение и документирование ответственности во внутренней организационной структуре банков. В целом, можно сказать, что количество требований к управлению IT-рисками растет и все больше ответственности за их реализацию ложится на плечи руководства финансовых институтов.

Кроме того, особое внимание в принципах ИКТ уделяется организации и документации процессов управления IT-рисками. В список возможных IT-рисков были включены также новые виды рисков, появившиеся в последние несколько лет. При этом сами IT-риски также рассматриваются как потенциально возможные в сфере операционных рисков. Выделяют пять категорий, в соответсвии с которыми можно классифицировать потенциально возможные IT-риски для их дальнейшей идентификации, оценки и снижения:

• риск доступности и непрерывности работы IT-систем (ICT availability and continuity risk). Эта категория рисков подразу­мевает возможность отказа IT-системы в случае запроса клиента или внутренних процессов банка. Вследствие этого запрашиваемые данные или процессы не будут предоставлены, как, например, в случае отказа в доступе к системе интернет-банкинга;

• риск ИКТ-безопасности (ICT security risk). В эту категорию входят риски, связанные с вредоносным внешним или внутренним вмешательством, например кибератакой или неавторизированным доступом к данным. Здесь хорошим примером является упомянутое нами ранее хакерское ограбление ЦБ Бангладеша, нанесшее многомиллионный ущерб;

• риск ИКТ-изменений (ICT change risk). Эта категория охватывает риски, возникающие вследствие внесения изменений в IT-системы или процессы, ведущих к неполадкам и проблемам. В качестве примера можно привести ошибочный перевод средств одним из немецких банков из-за неверного внесения изменений в соответствующее программное обеспечение;

• риск целостности ИКТ-данных (ICT data integrity risk). Эта категория включает в себя риски, связанные с некорректной обработкой и сохранением данных IT-системой банка. Вследствие этого полученные данные теряют свою точность и целостность и становятся несовместимыми с другими системами. Это ставит под угрозу способность финансового института предоставлять своим клиентам определенные услуги или обеспечивать корректность финансовой информации и данных по управлению рисками;

• риск ИКТ-аутсорсинга (ICT outsourcing risk). К этой категории относятся риски, связанные с негативным влиянием участия третьей стороны в предоставлении собственных IT-систем или процессов для деятельности кредитной организации.

Таким образом, финансовые институты должны разработать и внедрить адекватную систему контроля для определения потенциальных IT-рисков и четко организовать и задокументировать весь процесс управления рисками. Европейское банковское управление (EBA) как инициатор процесса ожидает в связи с этим от банков конкретных действий, например учреждения Управляющего комитета по ИКТ как главной составляющей части всего процесса.

Подводя итоги, можно с уверенностью сказать, что рассмотренные выше инициативы — это прямая реакция надзорных органов на уже упомянутые риски и недостатки IT-сферы. Разработка данных инициатив преследует главным образом две цели. Во-первых, необходимость внедрения современной IT-инфраструктуры в совокупности с безопасными и продуктивными IT-процессами. Во-вторых, разработку подходящей и реалистичной IT-стратегии в сочетании с адекватной системой управления IT-рисками.

Выводы

Для достижения упомянутых целей банки будут вынуждены в ближайшем будущем приложить огромные усилия и вложить большие средства в сферу информационных технологий, чтобы поддерживать ее высокий уровень или, как в некоторых случаях, даже повышать его. Внедрение столь необходимых изменений IT-инфраструктуры и соответствующих процессов, как правило, требует от банков реализации сложных проектов и привлечения значительных инвестиций. В отдельных случаях, например при борьбе с рисками кибератак, еще не разработаны соответствующие рыночные стандарты, что делает проблематичным поиск решений в борьбе с такими атаками.

Кроме того, обязательно должны быть выполнены новые, более жесткие требования к системе управления IT-рисками. Ужесточения коснулись как чисто формальной, так и сложной содержательной стороны требований, поэтому количественное и качественное распределение ресурсов будет играть в данном случае решающую роль. При этом следует обратить особое внимание на связь различных и, казалось бы, незначительных аспектов. IT-стратегия и система управления IT-рисками должны соответствовать поставленной стратегической IT-задаче и учитывать необходимое кадровое обеспечение.

В завершение следует отметить, что IT-риски являются ключевой темой процесса оценки качества внутренних процедур и достаточности капитала (SREP) в 2017 году. В соответствии с этим документом финансовые институты в ближайшее время помимо инвестиций для реализации будущих требований ожидает ужесточение требоваий к достаточности собственного капитала, если существующая система управления IT-рисками не будет соответствовать регуляторным требованиям. Уже сегодня надзорные органы начали применять положения SREP и потребовали от отдельных финансовых институтов существенного увеличения собственного капитала из-за IT-рисков. Те же банки, которые занимают лидирующие позиции по использованию современных технологий борьбы с информационными рисками и обладают эффективной системой управления IT-рисками, в этом случае лишь выиграют.



26.10.2017
Эта статья была разослана 1442 on-line подписчикам bosfera.ru
Материалы альянса финансовых медиа:
Разговоры финансистов

Вверх