Финансовые учреждения или провайдеры, которым присвоен рейтинг «1», демонстрируют во всех отношениях надежное функционирование и обычно их компоненты оцениваются «1» или «2». Недостатки в организации ИТ незначительны и легко устраняются в ходе обычной работы. Процессы риск-менеджмента реализованы в форме полноценной программы выявления и мониторинга риска в соответствии с размерами, сложностью деятельности и профилем риска учреждения. Стратегические планы тщательно разработаны и полностью внедрены в учреждении. Это позволяет руководству быстро адаптироваться к изменяющимся рыночным условиям, деловым и технологическим потребностям данного учреждения. Руководство четко идентифицирует недостатки и принимает соответствующие корректирующие меры для их устранения с учетом требований аудита и органов регулирования. Финансовое состояние провайдера устойчивое, и общие характеристики функционирования свидетельствуют об отсутствии проблем.
Суммарный рейтинг 2
Финансовые учреждения или провайдеры, которым присвоен рейтинг «2», демонстрируют безопасное и надежное функционирование, но при этом могут иметь место умеренные недостатки в операционных характеристиках, мониторинге, управленческих процессах или разработке систем. Как правило, высшее руководство исправляет недостатки в ходе обычной работы. Процессы риск-менеджмента позволяют адекватно выявлять и контролировать риск в соответствии с размером, сложностью деятельности и профилем риска данного учреждения. Стратегические планы разработаны, но могут требовать уточнения, улучшения координации или совершенствования информирования в организации. В результате руководство предвидит изменения в рыночных условиях, деловых и технологических потребностях учреждения и реагирует на них, но менее оперативно. Руководство, как правило, идентифицирует недостатки и принимает соответствующие корректирующие меры. В то же время устранение проблем в большей степени зависит от аудита и вмешательства регулирующих органов. Финансовое состояние провайдера услуг приемлемое, и хотя могут иметься некоторые недостатки во внутреннем контроле, существенных причин для усиления надзора нет.
Суммарный рейтинг 3
Финансовые учреждения или провайдеры, которым присвоен рейтинг «3», требуют определенного внимания со стороны надзора из-за сочетания недостатков, которые могут варьироваться от умеренных до серьезных. Если эти недостатки сохранятся, то в дальнейшем возможно ухудшение состояния и функционирования данного учреждения или провайдера услуг. Процессы рис к-менеджмента могут недостаточно эффективно идентифицировать риски и не соответствовать размеру, сложности деятельности и профилю риска данного учреждения. Стратегические планы недостаточно четкие, и в них может неадекватно описываться направление развития ИТ. В результате руководство часто испытывает трудности с реагированием на изменения в рыночных условиях, деловых и технологических потребностях учреждения. Практика самооценки не развита и обычно представляет собой реакцию на результаты аудита и отклонения от установленных правил. Проблемы могут повторяться, свидетельствуя о нехватке у руководства возможностей или желания решать проблемы. Финансовое состояние провайдера может быть проблемным или могут наблюдаться негативные тенденции в нем. Несмотря на то что серьезные финансовые или функциональные проблемы вряд ли возникнут, требуется повышенное внимание надзора. Может оказаться необходимо содействие в обеспечении проведения корректирующих мероприятий.
Суммарный рейтинг 4
Финансовые учреждения или провайдеры, которым присвоен рейтинг «4», работают в небезопасных и ненадежных условиях, что может негативно сказаться в дальнейшем на их «жизнеспособности». Функциональные недостатки свидетельствуют о серьезных проблемах с руководством. В процессах рис к- менеджмента неадекватно учтены размер, сложность деятельности и профиль риска данного учреждения, риски плохо идентифицируются и контролируются. Стратегические планы плохо составлены и не скоординированы или не доводятся до персонала организации. В результате руководство и совет директоров не хотят или не способны обеспечивать удовлетворение технологических потребностей учреждения. Руководство не применяет самооценку и демонстрирует неспособность или нежелание исправлять проблемы, выявленные аудитом, и отклонения от установленных правил. Финансовое состояние провайдера неудовлетворительное и (или) заметно ухудшается. Банкротство данного финансового учреждения или провайдера может быть вполне вероятно, если не принять срочных мер по устранению проблем с ИТ. Необходимо серьезное внимание со стороны надзора, и в большинстве случаев требуется применение установленных мер воздействия.
Суммарный рейтинг 5
Финансовые учреждения или провайдеры, которым присвоен рейтинг «5», характеризуются наличием критических недостатков в функционировании, которые требуют немедленного устранения. Операционные проблемы и серьезные недостатки могут иметься во всей организации и свидетельствуют о серьезных проблемах с руководством. Процессы риск-менеджмента явно плохо организованы и не позволяют руководству осознавать риск или осознавать его в незначительной степени в сопоставлении с размером, сложностью деятельности и профилем риска конкретного учреждения. Стратегические планы отсутствуют или неэффективны, а руководство и совет директоров уделяют мало внимания или вообще не обращают внимания на управление деятельностью в области ИТ. В результате руководство не имеет представления о технологических потребностях учреждения или не обращает на них внимания. Руководство не способно исправлять проблемы, выявленные аудитом, и отклонения от установленных правил. Финансовое состояние провайдера плохое, и банкротство весьма вероятно из-за финансовой нестабильности. Необходимо постоянное внимание со стороны надзора.
Компонентные рейтинги далее не рассматриваются в силу объемности материала — его можно найти в публикациях по ссылкам, приведенным в этой книге.
FFIEC отмечает, что практика управления, особенно в отношении риск-менеджмента, значительно различается в разных финансовых учреждениях и у провайдеров в зависимости от их размера, специализации, характера и сложности их деловой активности, а также свойственных им профилей риска. Отмечается также, что в условиях, не требующих применения сложных информационных систем, наличие детализированных или строго формализованных описаний систем и средств контроля, которые приводят к более высоким значениям суммарного и компонентных рейтингов, не обязательно. Описанная УРСИТ считается эффективной, подтвердившей практичность ее применения органами банковского надзора для определения и оценки условий функционирования кредитных организаций в области применения ими ИТ.
Что касается возможного использования УРСИТ, то специалистами кредитных организаций рассмотренные материалы могут быть использованы в интересах собственных методических разработок индивидуального характера, которые целесообразно акцентировать на специфике применяемых этими организациями банковских автоматизированных систем в их связи с системами электронного банкинга, или применении ИТ в целом. При этом следует дополнить такие разработки учетом особенностей проектирования, внедрения и эксплуатации систем электронного банкинга.
5.4. Адаптация обеспечения информационной безопасности
Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых видов, нетипичных для традиционной ее организации. Конечно, кредитные организации всегда подвергались и подвергаются рискам, связанным с ошибками или мошенничеством, но с внедрением компьютерных технологий уровень таких рисков и масштаб их влияния существенно изменились, поскольку возможности и последствия реализации рисков такого рода значительно расширились. Тем не менее, как это ни странно, но нередко приходится сталкиваться с такими ситуациями в
