Лекарство от операционных рисков для российских банков

ИССЛЕДОВАНИЯ

Построить эффективную систему управления операционными рисками довольно сложно. Между тем каждому российскому банку придется решить эту задачу к 2009 г., когда в России вступит в силу соглашение Basel II ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы"). Начав подготовку к этому важному для всей финансовой отрасли событию, Центробанк еще в конце 2004-го выпустил стандарт по ИТ-безопасности. А в начале 2006-го вышла уже вторая версия этого документа - "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2006, см. PC Week/RE, N 11/2006, с. 22).

Нужен ли российским банкам стандарт по ИТ-безопасности?

Проведенное недавно компанией InfoWatch совместно с интернет-ресурсом "Банкир.Ру" исследование "Стандарт Центробанка по ИТ-безопасности - 2006: регулятор воспитывает банки", в ходе которого был проведен опрос среди полусотни с лишним российских банков, позволило оценить общую реакцию кредитно-финансовых компаний на инициативу надзорного органа. Характеризуя базу респондентов, отметим, что более половины (62%) участвовавших в опросе компаний представляли собой микробанки, количество компьютеризированных рабочих мест в которых не превышает 250. На долю малых организаций (250-1000 мест) пришлась ровно одна пятая (20%) всех респондентов, а на долю средних (от 1001 до 5000 мест) - 14%. Наконец, 4% анкетированных представляли крупные банки с числом компьютеризированных мест более 5 тыс.

Оказалось, что подавляющее большинство респондентов (78%) поддерживают стандарт и считают целесообразным его дальнейшее развитие. Вместе с тем практически каждый пятый банк (22%) высказался против этой нормативной инициативы (см. рис. 1).

Рис. 1. Нужен ли российским

кредитно-финансовым организациям

стандарт Банка России по ИТ-безопасности?    

Между тем при столь ощутимой поддержке стандарта ЦБ по ИТ-безопасности только чуть более половины опрошенных банков (53%) напрямую связали реализацию его положений с повышением своей конкурентоспособности, выразив мнение, что совместимые со стандартом кредитные организации будут иметь преимущество перед теми, кто не реализовал его положений на практике (см. рис. 2). Эксперты из InfoWatch объясняют подобный результат тем, что среди высказавшихся в поддержку стандарта довольно значительная часть опасается, что стоимость ресурсов, потраченных на его внедрение, перевесит все выгоды, полученные в результате такого проекта. Таким образом, все упирается в цену вопроса. Причем наибольшую озабоченность в этой связи должны испытывать небольшие банки, для которых инвестиции в новые информационные продукты и модернизацию технологических процессов могут оказаться неподъемными. Это подтверждает и проведенный в ходе исследования анализ корреляции между размером организации и высказанным ею мнением о влиянии стандарта на конкурентоспособность. Абсолютно все усомнившиеся в положительном эффекте респонденты (а их было 47%) оказались представителями малого бизнеса.

Рис. 2. Будет ли реализация положений

стандарта Центробанка по ИТ-безопасности

повышать конкурентоспособность вашей

 организации?

Что стандарт ЦБ по ИТ-безопасности дает банкам?

Эксперты выделяют как минимум шесть основных стимулов к внедрению стандарта ЦБ по ИТ-безопасности: создание эффективной и управляемой системы ИТ-безопасности, формирование эффективной системы управления операционными рисками, упрощение обеспечения совместимости с соглашением Basel II, улучшение и защита имиджа банка, повышение стоимости банка при слияниях и поглощениях (а также в рамках IPO) и повышение привлекательности банка в глазах иностранных инвесторов и партнеров. Из этого списка, судя по ответам респондентов, можно выделить три, с их точки зрения, наиболее важных (см. рис. 3): эффективную систему ИТ-безопасности (63%), эффективное управление операционными рисками (55%) и улучшение и защиту репутации (55%). Гораздо меньшее значение респонденты пока придают совместимости с соглашением Basel II (25%) и повышению привлекательности в глазах иностранных инвесторов (25%). Наконец, меньше всего они озабочены повышением собственной цены при слияниях и поглощениях (4%).

Рис. 3. Наиболее значимые для российских кредитно-финансовых организаций

преимущества соответствия стандарту ЦБ по ИТ-безопасности

По мнению специалистов аналитического центра InfoWatch, подобный расклад мнений отнюдь не случаен. Дело в том, что угрозы ИТ-безопасности являются частью операционных рисков, а реализация этих угроз и рисков, как правило, приводит к ухудшению репутации организации. Другими словами, все три наиболее важных, по мнению респондентов, стимула связаны между собой. Например, если инсайдеры воспользуются своими служебными полномочиями и попытаются украсть конфиденциальные документы или совершить мошенничество, то таким образом реализуется одна из возможных угроз ИТ-безопасности. Кроме того, согласно пункту 7.13 стандарта ЦБ по ИТ-безопасности, "...ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов при их непосредственном доступе к АБС (автоматизированной банковской системе) организаций" порождают операционные риски. Если же в результате успешной реализации указанные выше украденные конфиденциальные документы предаются огласке, то это может существенно повредить репутации финансовой компании. Таким образом, своим ответом российские банки продемонстрировали четкое понимание значимости защиты от внутренних и внешних угроз и управления операционными рисками.

Регулятор закручивает гайки?

На сегодняшний день стандарт СТО БР ИББС-1.0-2006 носит рекомендательный характер. Тем не менее в сфере нормативного регулирования во всем мире и в России в частности наблюдается тенденция к ужесточению законодательного бремени, так что со временем стандарт Центробанка по ИТ-безопасности может перейти в разряд обязательных для исполнения. Как показало исследование, подавляющее большинство кредитно-финансовых организаций (72%) полагают, что это произойдет уже в ближайшие четыре года (см. рис. 4). Причем почти одна треть респондентов (31%) уверены, что это случится в течение 2006-2007 гг., а практически каждый второй (41%) считает, что процесс может растянуться на 2006-2009 гг.

Рис. 4. Когда вы ожидаете трансформации

добровольного характера стандарта ЦБ по

ИТ-безопасности в разряд обязательных

для исполнения?

Совершенно очевидно, что год 2009-й, когда Россия должна присоединиться к соглашению Basel II, банки рассматривают как финишную черту, к которой необходимо успеть обеспечить эффективное управление операционными рисками. Между тем саму угрозу ужесточения нормативного регулирования можно рассматривать в качестве дополнительного стимула к реализации стандарта ЦБ по ИТ-безопасности. Ведь если надзорный орган сделает положения стандарта обязательными для исполнения, то те банки, которые уже обеспечили совместимость с этим нормативным актом, получат преимущество по сравнению с теми, кто этого не сделал. Дело в том, что последним совместимость со стандартом обойдется намного дороже, так как положения стандарта придется внедрять в довольно сжатые сроки, а стоимость продуктов и услуг для построения системы управления операционными рисками будет существенно превышать стоимость проводимых сейчас пилотных проектов. В то же самое время конкуренты, действовавшие с опережением, смогут существенно улучшить свой рейтинг.

Стандарт в каждом втором банке уже через четыре года

С учетом проявившегося в ходе опроса расклада мнений можно сделать вывод, что стандарт ЦБ по ИТ-безопасности в целом воспринимается как действенное "лекарство" от операционных угроз. Поэтому не удивительно, что шесть из каждых десяти банков (точнее - 61% опрошенных) планируют реализовать положения стандарта в течение ближайших четырех лет (см. рис. 5). Причем 39% ответивших на вопросы называют еще более короткий срок: 2006-2007 гг. На долгосрочную перспективу (после 2010-го) данный проект отложили лишь 10% респондентов. Вместе с тем и доля тех финансовых учреждений, которые не относят проблему обеспечения совместимости со стандартом Центробанка к числу приоритетных задач, довольно значительна - 29%.

Рис. 5. Планирует ли ваша организация обеспечить

совместимость со стандартом Банка России по

ИТ-безопасности?

Как бы то ни было, на ближайшие четыре года можно прогнозировать существенный рост спроса на продукты и услуги по управлению операционными рисками и обеспечению совместимости со стандартом по ИТ-безопасности Центробанка. Большая часть российских кредитно-финансовых организаций постарается быть во всеоружии к моменту вступления в силу соглашения Basel II и заранее свести к минимуму свои расходы на нормативное регулирование. Тем же банкам, которые будут не в состоянии удовлетворить требования надзирающего органа, очевидно, придется уйти со сцены, так как они либо потеряют конкурентоспособность, либо будут наказаны регулирующим органом за несоблюдение обязательных правил.