Развитие информационных технологий в кредитных организациях

Размещено на http:\\www.allbest.ru\

Cодержание

Введение

Глава 1. Развитие информационных технологий в кредитных организациях

1.1 Тенденции в развитии информационных технологий в кредитных организациях. Международные стандарты в области управления и контроля информационных технологий

1.2 Влияние информационных технологий на финансовое состояние кредитной организации

Глава 2. Порядок построения информационных технологий в кредитных организациях ее зрелость и анализ технических рисков

2.1 Стадии и этапы создания автоматизированных систем, состав эксплуатационной и проектной документации

2.2 Зрелость информационных технологий организации и управление техническими рисками по модели CRAMM

2.3 Защита информации

Глава 3. Аудит информационных технологий в кредитных организациях

3.1 Определение объема выборки документов, подлежащих проверке

3.2 Порядок проверки применяемых в кредитной организации информационных технологий и предоставляемой отчетности в Банк России

3.3 Возможные нарушения, допускаемые кредитными организациями. Оформление результатов проверки

Заключение

Список использованной литературы

Приложение А

Приложение В

Аннотация

Для выполнения задач, установленных в проекте по аудиту автоматизированных систем кредитных организаций, разработан порядок проверки инспекторами Центрального Банка Российской Федерации вопроса организации информационных технологий и предоставляемой отчетности в Банк России. Выявлены основные нарушения допускаемые кредитными организациями в области применения автоматизированных систем. При этом необходимо отметить, что кредитные организации применяют все более новые информационные технологии в своей деятельности.

Предметом исследования явилась автоматизированная система кредитной организации и защита информации.

Применение систем электронной обработки данных существенно влияет на финансовое состояние кредитной организации, поэтому необходим постоянный контроль со стороны Банка России за применением информационных технологий. Контроль необходимо осуществлять посредством проведения инспекционных проверок.

Выбор темы дипломной работы обусловлен тем, что зачастую в ходе инспекционных проверок недостаточно уделяется внимание, а иногда - не уделяется вообще, такому важному направлению как аудит автоматизированной системы кредитной организации.

В первой главе работы рассмотрены тенденции в развитии информационных технологий применяемых в кредитных организациях. Определены основные требования которым должна отвечать любая банковская автоматизированная система. Рассмотрены международные стандарты в области управления и контроля над информационными технологиями. Отражено влияние банковских информационных технологий на финансовое состояние кредитной организации.

Во второй главе рассмотрен порядок построения информационных систем в кредитных организациях, рассмотрен состав эксплуатационной и проектной документации. Также рассмотрен вопрос защиты информации, зрелости информационных технологий и управление рисками по модели CRAMM.

В третьей главе рассмотрена процедура аудита информационных технологий применяемых в кредитных организациях с определением объема выборки документов подлежащих проверке и порядок рассмотрения применяемых в кредитной организации информационных технологий и отчетности, предоставляемой в Банк России. Также выявлены возможные нарушения, допускаемые кредитными организациями и порядок отражения результатов проверки данного вопроса в акте инспекционной проверки.

Введение

Развитие и широкое применение информационных и коммуникационных технологий в последние десятилетия стало глобальной тенденцией мирового прогресса. В современном динамично развивающемся мире информационные технологии способствуют привлечению в страну инвестиций, созданию новых рабочих мест, внедрению прогрессивных технологий в производстве и управлении, то есть в конечном итоге - стабильному экономическому росту и повышению уровня жизни. В условиях углубляющейся глобализации информационные технологии становятся преобладающим коммуникационным средством, резко сокращающим издержки при обмене информацией и совершении коммерческих сделок между участниками рынка.

Глобализационные процессы сопровождаются информационным “взрывом” и повсеместной компьютеризацией всех сфер человеческой деятельности. Использование информационных технологий обусловило появление ряда изменений в экономических и социальных структурах в глобальном масштабе. Это явление носит название “революции информационных технологий”. По мнению экспертов, информационная революция уже вызвала такие исторические преобразования общества, которые сопоставимы разве что с промышленной революцией XVII-XVIII веков, давшей в свое время толчок к превращению сельскохозяйственного мира в индустриальный. Информационно коммуникационные технологии позволили резко увеличить объем и качество информационных обменов, уменьшить финансовые и временные затраты на формирование и распределение информации, повысить эффективность хозяйственной деятельности благодаря своевременности получения необходимой информации. Все эти возможности дают толчок к быстрому преобразованию индустриального общества в общество, где информация и знания образуют базис новых ценностей.

Последние несколько лет в России ознаменовались бурным развитием информационных технологий, российские банки сегодня используют достижения ИТ во всех сферах деятельности, в том числе и при обслуживании клиентов. Сейчас практически каждая кредитная организация предлагает своим клиентам банковские услуги в электронном виде. Более того, "думающие" банки постоянно расширяют спектр предлагаемых электронных услуг. Увеличение объемов операций, проводимых электронным способом, выгодно обеим сторонам: и клиентам, и банкам. Клиенты в этой ситуации получают максимально широкий спектр услуг, а кредитные организации повышают качество оказываемых услуг, следовательно, становятся более конкурентоспособными на рынке и, кроме того, выигрывают на экономии издержек, возникающих при традиционном способе обслуживания. Вышесказанное позволяет говорить о расширении спектра электронных банковских услуг, как о наиболее важной тенденции развития электронного банковского обслуживания.

Применение систем электронной обработки данных существенно влияет на финансовое состояние кредитной организации, поэтому необходим постоянный контроль со стороны Банка России за применением информационных технологий. Контроль осуществляется посредством проведения инспекционных проверок. Выбор темы дипломной работы обусловлен тем, что зачастую в ходе инспекционных проверок недостаточно уделяется внимания, а иногда - не уделяется вообще, такому важному направлению как аудит автоматизированных систем кредитной организации.

Глава 1. Развитие информационных технологий в кредитных организациях

1.1 Тенденции в развитии информационных технологий в кредитных организациях

информационный кредитный аудит риск

Создание и функционирование информационных систем в управлении экономикой тесно связаны с развитием информационных технологий - главной составной части автоматизированной информационной системы (далее по тексту АИС).

Автоматизированная информационная технология (далее по тексту АИТ) - системно организованная для решения задач управления, совокупность методов и средств реализации операций сбора, регистрации, передачи, накопления, поиска, обработки и защиты информации на базе применения развитого программного обеспечения, используемых средств вычислительной техники и связи, а также способов, с помощью которых информация предлагается клиентам.

Развитие рыночных отношений привело к появлению новых видов предпринимательской деятельности и, прежде всего, к созданию фирм, занятых информационным бизнесом, разработкой информационных технологий, их совершенствованием, распространением компонентов АИТ, в частности программных продуктов, автоматизирующих информационные и вычислительные процессы. К их числу относят также вычислительную технику, средства коммуникаций, офисное оборудование и специфические виды услуг - информационное, техническое и консультационное обслуживание и обучение. Это способствовало быстрому распространению и эффективному использованию информационных технологий в управленческих и производственных процессах, практически к повсеместному их применению и большому многообразию.

Новая информационная технология - это технология, которая основывается на применении компьютеров, активном участии пользователей в информационном процессе, высоком уровне пользовательского интерфейса, широком использовании пакета прикладных программ общего и проблемного назначения, доступе пользователя к удаленным базам данных и программам благодаря вычислительным сетям ЭВМ.

Последние несколько лет в России ознаменовались бурным развитием информационных технологий, российские банки сегодня используют достижения информационных технологий (далее по тексту ИТ) во всех сферах деятельности, в том числе и при обслуживании клиентов. Сейчас практически каждая кредитная организация предлагает своим клиентам банковские услуги в электронном виде. Более того, "думающие" банки постоянно расширяют спектр предлагаемых электронных услуг. Увеличение объемов операций, проводимых электронным способом, выгодно обеим сторонам: и клиентам, и банкам. Клиенты в этой ситуации получают максимально широкий спектр услуг, а кредитные организации повышают качество оказываемых услуг, следовательно, становятся более конкурентоспособными на рынке и, кроме того, выигрывают на экономии издержек, возникающих при традиционном способе обслуживания. Вышесказанное позволяет говорить о расширении спектра электронных банковских услуг, как о наиболее важной тенденции развития электронного банковского обслуживания.

Повсеместное использование информационных технологий стало объективной необходимостью. Одна из сфер, где их значение традиционно велико - финансовая. В настоящее время рынок программных продуктов для кредитных организаций представлен широким спектром систем управления деятельностью, различающихся как функциональной частью, так и технической реализацией, аппаратной платформой, уровнем системного сервиса, методами защиты информации и т.д. (они на сегодняшний день представляют собой самостоятельное направление в сфере информационного бизнеса).

Информационные системы для кредитных организаций прошли достаточно долгий путь развития:

- от простых, разработанных на персональных системах управления базами данных СУБД (например, Clipper, dBase, Foxpro);

- до современных - на основе клиент/серверных решений промышленных СУБД (Oracle, Informix, Sybase, MS SQL Server), которые позволяют автоматизировать весь спектр банковских бизнес процессов (управление ликвидностью, кадрами, банковскими рисками и т.д.).

Однако любая банковская информационная система обязательно должна отвечать следующим требованиям:

* возможность сетевой работы многих пользователей;

*реализация всего комплекса банковских операций по расчетно-кассовому обслуживанию;

* кредитно-депозитной деятельности, валютным операциям;

* гибкая настройка для доступа конечных пользователей;

* поддержка нескольких аппаратных платформ;

* иерархический доступ;

* автоматизированное формирование большей части отчетных форм, возможность их перенастройки и т.д.

Этим требованиям в настоящее время удовлетворяют большинство систем для финансовых организаций, представленных на рынке программных продуктов.

При выборе банком информационной системы, безусловно, следует руководствоваться не только стремлением к использованию последних достижений в данной области, но и объективными требованиями:

1. В первую очередь необходимо учитывать размер банка:

* число работников и автоматизированных рабочих мест;

* объем и структуру документооборота;

* количество внутри банковских и клиентских счетов;

* наличие филиальной сети;

* наличие валютных операций и т.д.

Это определяет требования к функциональности и производительности информационной системы.

2. Определенные требования к информационной системе предъявляет специализация банка. Главным образом это касается ее функциональных возможностей и особенностей настройки на конкретную технологию работы кредитной организации.

Помимо собственно программного обеспечения банковские информационные технологии решают еще целый комплекс задач, касающихся информационного и аппаратно-технического обеспечения банковских операций.

Основными функциональными направлениями применения банковских информационных технологий являются:

* Информационные технологии для ведения бухгалтерского учета, которые должны дать возможность обрабатывать все операции, проводимые банком, с приемлемой степенью скорости и надежности, а также осуществлять всю бухгалтерскую и финансовую отчетность. Они должны автоматизировать реальный банковский документооборот, т.е. быть построены «не от проводок, а от операций»;

* Информационные технологии для управленческого учета и стратегического планирования, которые должны предоставлять широкие возможности для контроля и анализа управленческой и учетной информации. Помимо этого, система должна обеспечивать обмен данными с программными продуктами и инструментальными средствами для финансового и статистического анализа;

* Информационные технологии для передачи информации - это различные электронные расчетные межбанковские системы, системы электронной связи отделений и филиалов банка с головным офисом. За последнее время значительно возросло значение новых банковских услуг, предоставляемых клиентам посредством Internet -технологий. Данная проблема также актуальна для банков с развитой сетью филиалов, работающих с ними в режиме On - line.

Средства защиты информации многие разработчики информационных систем включают в собственные программные продукты. Помимо этого существуют различные средства независимых разработчиков, осуществляющие защиту передаваемой информации от несанкционированного просмотра и изменения.

Несмотря на универсальность большинства российских банков, практически невозможно найти два банка, похожих друг на друга организационной структурой, технологией предоставления клиентам услуг, структурой документооборота и т.д. Хотя экономический смысл банковских операций в любом случае остается неизменным, каждый коммерческий банк работает по собственной сложившейся технологии. Она может быть не всегда оптимальной, характеризоваться неоправданно высокими затратами, но, тем не менее, эта технология является «исторически сложившейся» для данного банка и при отсутствии каких-либо внешних или внутренних побуждающих факторов продолжает использоваться.

Однако лишь в течение ограниченного промежутка времени технология отвечает потребностям банка, а вносимые изменения имеют скорее косметический характер и не затрагивают организационной структуры, сути бизнес процессов. Наступает момент, когда любая технология теряет свою актуальность в изменившихся рыночных условиях и становится сдерживающим фактором на пути дальнейшего развития бизнеса.

Переход банка на качественно иной уровень развития, в рамках идеи совершенствования, неизбежно требует внедрения в банковскую практику: новых технологий, новых подходов и методов работы.

Эти процессы часто сопровождаются:

* пересмотром организационной структуры;

* изменением спектра предлагаемых банковских продуктов и услуг;

* внедрением новых информационных технологий;

* реинжиниринг бизнес-процессов (т.е. фундаментальным переосмыслением и радикальным перепланированием, когда целью является существенное улучшение показателей деятельности, таких как: резкое сокращение затрат, рост качества сервиса и скорости обслуживания клиентов и др.).

Однако, кардинальные изменения в технологии работы кредитной организации, появление новых продуктов и услуг приводят к тому, что система автоматизации и управления деятельностью банка, которая использовалась ранее, перестает отвечать новым изменившимся требованиям. Распространенно заблуждение, что во главе процесса организационно-технологической перестройки банка стоит информационная система, ее функциональные возможности. Зачастую после выбора новой системы в банке предпринимаются попытки адаптировать под нее собственную технологию работы, что в принципе неверно. Такое решение только усугубляет негативную ситуацию, фактически «закрепляя» недостатки банковской технологии посредством их переноса в банковскую информационную систему. Наоборот, организационно-технологическая перестройка банка должна рассматриваться как первичный процесс, определяющий изменения в информационных технологиях.

Действительно, реинжиниринг кредитных организаций и внедрение новых банковских и информационных технологий являются тесно взаимосвязанными процессами и включают в себя ряд этапов - от предпроектного обследования до организационно-технологической перестройки банка.

Исследовательская группа Cnews Analytics на основе методики неполных парных сравнений провела оценку уровня информатизации 30 крупнейших банков России. В качестве исходных использовались данные Центрального банка Российской Федерации об активах кредитных организаций по состоянию на 1 сентября 2003 года. Подготовка рейтинга информатизации крупнейших банков России проводилось в несколько этапов, в ходе одного из которых был сформирован список 10 наиболее важных критериев оценки:

- Системы работы с пластиковыми карточками;

- Системы расчетно-кассового обслуживания «операционный день»;

- Системы кредитования физических лиц;

- Системы частных вкладов;

- Системы электронных услуг типа «банк-клиент»;

- Системы электронных банковских услуг: интернет-банкинг;

- Системы автоматизации взаимоотношений с клиентами (CRM-системы);

- Информапционно-аналитические системы;

- Системы автоматизации операций на фондовых и валютных рынках;

- Системы защиты информации.

В результате был получен рейтинг (рейтинг по методу неполных парных сравнений) банков, который представлен в (таблице 1).

Таблица 1 Уровень информатизации крупнейших банков России.

Рейтинг	Название банка	Регион
1	Райффайзенбанк Австрия	Москва
2	Ситибанк	Москва
3	Альфа-Банк	Москва
4	Автобанк-Никоил	Москва
5	Сбербанк России	Москва
6	Уралсиб	Башкортостан
7	МДМ-банк	Москва
8	Петрокомерц	Москва
9	Гута-Банк	Москва
10	Никоил	Москва
11	Банк Москвы	Москва
12	Международный Московский Банк	Москва
13	Внешторгбанк	Москва
14	БИН	Москва
15	Газпромбанк	Москва
16	Банк-Зенит	Москва
17	Сургутнефтегазбанк	Тюменская область
18	Росбанк	Москва
19	Импэксбанк	Москва
20	Сибинбанк	Москва
21	Возрождение	Москва
22	Менатеп Санкт-Петербург	С-Петербург
23	Россельхозбанк	Москва
24	Номос-банк	Москва
25	Международный Промышленный Банк	Москва
26	Транскредитбанк	Москва
27	Промсвязьбанк	Москва
28	Траст	Москва
29	Промышленно-строительный банк	С-Петербург
30	Московский индустриальный банк	Москва

По мнению экспертов, принявших участие в оценке уровня информатизации крупнейших банков России, выход «иностранцев» на первые места - закономерность так как «Ситибанк», и «Райффайзенбанк» напрямую приносят в Россию уже апробированные технологии работы, особенно в части работы с частными лицами, что не может не сказываться на уровне обслуживания клиентов и косвенным образом на оценке информатизации в целом.

Стоит отметить что банки первой тройки используют (или переходят к использованию, как в случае с Альфа банком) зарубежные автоматизированные банковские системы. Причем, следует отметить, все Автоматизированные банковские системы, которые используют данные банки, разработаны ведущими мировыми производителями.

Все банки, представленные в рейтинге имеют возможность нанимать высококлассных ИТ - специалистов с опытом (зачастую, полученным за рубежом) реализации проектов, связанных с автоматизацией вверенных им банков. Однако банки первой тройки, имеют один из самых больших ИТ - бюджетов, что в итоге очень сильно влияет на качество реализованных в банках ИТ - решений.

Сфера банковских услуг в России развита еще очень слабо, что говорит о ее юности. Очевидно, что по мере «взросления» банковского сектора, российские финансовые организации будут буквально «обрастать» клиентами и партнерами, будут запускать новые услуги, что предполагает увеличение количества операций. Все это требует проектирования и эксплуатации гибких систем, которые предполагают легкое масштабирование в зависимости от текущих требований.

Информационная система Райффайзенбанка состоит из разнородных частей, каждая из которых реализована на высоком уровне. Однако система этого банка еще должна пройти проверку при обслуживании большого количества клиентов и осуществлении большого количества операций. Многие российские банки обслуживают существенно большее число клиентов в разных регионах. Поэтому, если с точки зрения результатов банковской деятельности (прибыль) можно говорить об успехах даже при малом числе клиентов, то о состоянии информатизации при небольшом числе клиентов можно в лучшем случае говорить лишь как об «наиболее адекватном», а не самом лучшем.

Иностранцы, работающие на российском рынке банковских услуг, очень хорошо понимают, что рынок растет. Поэтому уделяют значительное внимание проектированию и реализации информационных систем «с запасом». Например, в Ситибанке вопросы интеграции всех подсистем проработаны очень хорошо, в результате чего обеспечивается высокий уровень их интеграции. В области информатизации, как и в чисто банковской, банк работает на перспективу, в расчете на значительное увеличение числа операций и на долгое время эксплуатации. Также в данном банке значительное внимание уделяется системе защиты информации.

Выход на первые места рейтинга «иностранцев» не является свидетельством того, что российские банки проигрывают сражение в информатизации. Отечественные финансовые организации в своем большинстве еще не имеют за своими плечами того огромного опыта, который накопили их иностранные конкуренты. Информационная инфраструктура еще только складывается в российских банках, что не может не играть им на руку, т.к. дает возможность избежать определенных ошибок, через которые прошли их западные конкуренты. Однако в такой ситуации есть и свои минусы: количество иностранных банков в нашей стране постоянно увеличивается и, если резко не изменится экономическая и политическая ситуация в России, эта тенденция сохранится в ближайшем будущем. Для того чтобы эффективно противостоять им, российские банки должны иметь надежные, проверенные временем и масштабируемые информационные системы.

Процесс информатизации банковской деятельности продолжится в дальнейшем. В банковском секторе в ближайшем будущем будут преобладать тенденции к повышению качества и надежности предлагаемых продуктов и услуг, увеличению скорости проведения расчетных операций, организации электронного доступа клиентов к банковским продуктам. Это обусловлено, прежде всего, стремлением банков к достижению конкурентных преимуществ на финансовых рынках и совершенствованию.

Рассматривая международные стандарты в области управления, и контроля над ИТ в последние годы предприятия стали воспринимать информационные технологии как обязательную и очень важную составляющую своей общей стратегии. Логическим продолжением такого подхода стала новая область деятельности - управление ИТ, возникшая несколько лет назад.

Управление предприятием основывается на общепринятых правилах. Отделу ИТ также необходимо руководствоваться правилами, которые гарантируют ответственное использование информационных ресурсов предприятия, надлежащее управление рисками, соответствие информационных и связанных с ними технологий целям предприятия.

Ни одна компания не застрахована от технологических атак, мошенничества или ошибок планирования; от злостного хакерства, неопытного руководства или недовольства работников.

Некоторые передовые фирмы сообщают о разорительном перерасходе времени и средств на плохо управляемых проектах ИТ с раздутым бюджетом и неясно поставленными задачами. Руководителям организаций пора вмешаться: всерьез заняться ИТ - проектами и обеспечить качественное управление ими.

Задача управления ИТ - контролировать и направлять информационные технологии. Эффективное управление согласует информационные технологии с целями организации, обеспечит максимальную отдачу от инвестиций в ИТ, поможет лучше управлять рисками, связанными с ИТ.

Эффективное и экономное размещение надежной информации и прикладных технологий - залог успеха.

За последнее десятилетие технологии изменили стиль работы почти всех руководителей. В настоящее время элементами управления ИТ являются:

· капитальные ресурсы (информационные системы, технологии и связь);

· стратегии и правила (коммерческие, юридические и иные вопросы);

· человеческие ресурсы (все участники процесса, в том числе директора, высший менеджмент, поставщики ИТ, пользователи и аудиторы).

Чтобы преуспеть в динамичной среде, нужно связать ИТ с бизнес - стратегией, что позволит достигать коммерческих целей, извлекать максимум пользы из информации и доступных технологий.

Традиционно руководители организаций не занимались информационными технологиями, уделяя внимание финансовым, стратегическим и другим проблемам. Управление ИТ позволит им повысить свою эффективность в информационной сфере бизнеса. Хорошее управление организацией и информационными технологиями - путь к успеху.

Управление организацией - это система, которая направляет и контролирует компанию. Она является определяющей и для работы отдела ИТ.

С другой стороны, необходимо, чтобы отдел ИТ вносил вклад в управление организацией. Стратегические возможности и выгоды, доступные компании, нередко связаны с информационными технологиями.

Данные и услуги отдела ИТ должны отвечать задачам организации, независимо от того, где они используются: в торговле, эксплуатации, работе с кадрами, в юридической или производственной деятельности.

Задача технологов - обеспечить доступ к надежной, точной и оперативной информации. В этом случае организация наиболее полно реализует свои возможности и получит конкурентные преимущества.

Управление отделом ИТ во многом похоже на управление организацией, хотя и носит более узкий характер.

Как и все организации, отдел ИТ ориентируется на положительный (или передовой) опыт, что помогает ответственно использовать информационные ресурсы, должным образом управлять рисками, согласовывать свою деятельность с целями организации.

Акционеры должны быть уверены, что управляющие в своей текущей работе делают все возможное для защиты компании и оптимального использования ее активов. Если организация представит такие гарантии (программа управления ИТ - один из способов сделать это), она будет вознаграждена поддержкой акционеров.

Интернет - коммерция стала новой возможностью для многих организаций. Однако изучая варианты такой деятельности, организация должна обеспечить эффективное управление ИТ и информацией и продемонстрировать эту эффективность деловым партнерам и клиентам. Без их доверия компании трудно будет преуспеть в области Интернет - коммерции.

Виды рисков так же многочисленны, как и возможности. Вероятно, наиболее распространенными являются проблемы безопасности и уязвимость в информационной войне. Ни дня не проходит без сообщений в прессе о хакерском взломе или незаконном манипулировании данными.

Возможности манят, а риски настораживают, поэтому важно принять программу управления ИТ.

Чтобы помочь организациям во всем мире, Институт Управления ИТ, совместно с Фондом аудита и контроля информационных систем (ISACF), выпустил «Задачи контроля за информационными и смежными технологиями» (COBIT), 3-е издание.

Это открытый стандарт управления, который помогает нетехническим менеджерам оценить риск, связанный с информацией и ИТ, и управлять им.

«Информация и технология - два наиболее ценных актива для организаций во всем мире, председатель оргкомитета COBIT. Часто успех организации, будь то солидное финансовое учреждение или молодая электронная компания, в решающей мере зависит от эффективности управления информацией и системами ИТ».

COBIT - всесторонняя структура задач контроля, основанная на 36 международных документах, что обеспечивает глобальный и передовой подход. Это итог многолетних исследований и сотрудничества экспертов по ИТ и бизнесу, который предоставляет руководителям организаций и аудиторам авторитетный международный комплекс общепринятых правил работы с ИТ.

COBIT содержит новые принципы управления коммерческим риском, потребностями контроля и техническими задачами. Принципы основаны на Решающих Факторах Успеха (CSF), Ключевых Показателях Цели (KGI), Ключевых Производственных Показателях (KPI) и Моделях Зрелости (MM).

Работая с COBIT, руководители организаций обеспечат надлежащую систему контроля за информационными технологиями. После этого они смогут сосредоточиться на наиболее опасных зонах и найти оптимальные способы снижения риска.

Программа управления ИТ позволяет с уверенностью решать ключевые проблемы бизнеса, гарантировать безопасность, надежность и цельность стратегической информации.

Внедрение такой программы помогает защитить инвестиции в информационные технологии и обеспечить должное управление информационными активами, многие из которых жизненно важны для развития организации.

В поддержку программы корпоративный Совет по ИТ создал «Инструментарий исследования процессов», который помогает оценить организационные мощности и улучшить процессы управления ИТ.

Метод SAB способствует созданию партнерских отношений между аудиторами информационных систем (ИС) и сообществом ИТ. Группа аудита информационных систем включила в проверку дополнительные компоненты, что позволило строже интерпретировать риски, связанные с ИТ.

Центральный Банк Аргентины принял COBIT как руководство для управления и проверки ИТ.

Документ подготовлен Национальным Институтом США по стандартам и технологии (NIST) для Комитета по вопросам безопасности, конфиденциальности и жизненно-важным инфраструктурам при Совете CIO.

Структура предлагает должностным лицам метод:

· сравнения уровня безопасности своих программ с существующими правилами;

· постановки целей при совершенствовании программ, по мере необходимости.

Структура не вводит новых стандартов. Она включает 5 уровней оценки программ безопасности и помогает расставить приоритеты в мерах по совершенствованию.

В сочетании с подготовленной NIST анкетой самооценки, структура служит средством последовательного и эффективного определения уровня безопасности для данного актива.

COBIT предоставляет дополнительные инструменты для самостоятельной оценки систем управления ИТ. Таблица оценки (Приложение А) помогает руководителям определить относительно каждого процесса COBIT:

· Насколько этот процесс важен для достижения целей организации?

· Хорошо ли процесс выполняется (сочетание важности и качества выполнения - надежный показатель риска)?

· Кто выполняет процесс и отвечает за него (четко ли определена ответственность, есть ли ответственное лицо)?

· Формализован ли процесс и управление им (есть ли подробный контракт на аутсорсинг, четко ли документированы процедуры внутреннего процесса)?

· Ведется ли проверка процесса?

Заполнение этой таблицы позволяет руководителю лучше понять, как сочетаются индикаторы риска, степень формальности, ясность ответственности и подотчетности. Показатели высокого риска в комбинации с ответами «не знаю» - это повод серьезно задуматься.

Когда зоны повышенного риска выявлены, руководство может сконцентрироваться на них, используя высокоуровневые и детализированные задачи COBIT и находя вместе с аудиторами информационных систем рентабельные способы снижения риска. В итоге совершенствуется управление отделом ИТ, что полезно для всей организации.

Поскольку в дальнейшем значение информационных технологий практически во всех областях бизнеса будет расти, увеличится спрос на эффективное управление отделами ИТ.

Сохранят свою значимость причины реализации программ по управлению ИТ, такие как:

· усиление зависимости от информации и связанных с ней систем;

· рост уязвимости и расширение спектра риска;

· увеличение текущих и будущих инвестиций в информационные технологии;

· дальнейшие серьезные изменения в организации и практике деловых отношений, что создает новые возможности и снижает затраты.

Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.

В соответствии со стандартом ISO 17799, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.

Нарушение любого из них может повлечь за собой значительные потери как в виде убытков, так и в виде неполученного дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:

· планирование непрерывности бизнеса (обеспечивает защиту критически важных бизнес - процессов от сбоев и нарушений);

· управление доступом (контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности);

· разработка и поддержка системных и прикладных средств (обеспечивает выполнение функций защиты информации в операционных системах и приложениях);

· безопасность среды (предотвращает несанкционированные изменения, кражу и повреждение средств защиты и информации);

· соответствие документам и стандартам (обеспечивает соблюдение общепринятых и внутренних правил, норм и стандартов);

· персонал (снижает риск «человеческих ошибок» и преднамеренных нарушений, а также контролирует выполнение правил политики безопасности со стороны пользователей);

· безопасность на уровне компании (управляет информационной безопасностью при взаимодействии с внешними объектами);

· управление инфраструктурой (снижает риск возникновения системных сбоев, предотвращает повреждения сетевого оборудования, а также контролирует сохранение конфиденциальности, целостности и достоверности при передаче информации);

· классификация и контроль материальных средств (обеспечивает охрану и надзор за материальными средствами организации);

· наличие политики безопасности (определяет требования к поддержке заданного уровня безопасности).

Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности.

Полный набор элементов стандарта ISO 17799 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления «слабых мест».

В России стандарт ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ - отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.

С практической точки зрения, стандарт ISO 17799 может применяться как средство аудита системы информационной безопасности. К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 17799 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.

Анкетирование -- заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.

Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.

Выявление элементов, нуждающихся в дополнительной защите (определение «слабых мест»).

Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов.

Среди стандартов, использующих процессный подход, можно выделить британский стандарт ITIL, стандарт взаимодействия с потребителями ИТ - услуг и управления обслуживанием информационных систем, созданный в конце 1980 года Центральным компьютерным и телекоммуникационным агентством (ССТА).

В стандарте ITIL описываются принципы управления обслуживанием информационных систем, а также уделено особое внимание организации предоставления ИТ - услуг. В этом случае ИТ - департамент удобно рассматривать в качестве самостоятельной структуры, которая ведет деятельность по всестороннему обеспечению головной организации ИТ - услугами.

Создание стандарта ITIL было обусловлено тем, что требования к информационным системам стремительно возрастали в условиях ограниченности ресурсов. Такое положение дел обусловливало необходимость сокращения издержек при обслуживании и модернизации.

Как и в CobiT, в стандарте ITIL деятельность по обеспечению ИТ - услуг представляется в виде отдельных процессов, имеющих входные/выходные параметры и четко определенные цели. Все процессы разделены на две большие категории:

· Предоставление услуг (Service Delivery). В эту категорию входят такие функции, как управление уровнем услуг (Service Management), производительностью (Capacity Management), доступностью (Availability Management), управление затратами (Cost Management) и непрерывностью (Contingency Management);

· Поддержка услуг (Service Support). В эту категорию попадают такие функции, как управление конфигурациями (Configuration Management), проблемами (Problem Management), изменениями (Change Management), разработкой и распространением программного обеспечения (Software Control & Distribution), а также взаимодействие с пользователями (Service Desk).

В первой категории подробно рассматриваются процессы, обеспечивающие эффективное взаимодействие с клиентами (потребителями) ИТ - услуг и удовлетворение возрастающих требований на взаимовыгодных условиях. В ITIL основой для взаимодействия между ИТ - департаментом и потребителем ИТ - услуг служит соглашение об их уровне (Service Level Agreement, SLA). В нем перечисляются все предоставляемые услуги, четко описываются их количественные и качественные показатели, и кроме того, оговариваются права, обязанности и ответственность сторон. Для поддержания необходимого уровня услуг в ITIL описаны процессы, контролирующие производительность, доступность и непрерывность сервисов и обеспечивающие предоставление новых услуг.

Во второй категории деятельность ИТ - департамента рассматривается в виде процессов поддержки услуг в соответствии с соглашением об уровне услуг. Эти процессы направлены на обеспечение контроля над изменениями существующей информационной системы, а также на проактивное управление кризисными ситуациями. Проактивность заключается в оценке рисков и анализе причин возникновения той или иной нештатной ситуации в работе системы, что позволяет заранее укрепить наиболее слабые места и избежать повторения сбоя.

Стандарт ITIL обладает рядом характерных недостатков и преимуществ. К недостаткам можно отнести тот факт, что в стандарте предполагается информатизация уже хорошо отлаженной и эффективной деятельности организации. При этом не секрет, что, автоматизируя хаос, мы получим автоматизированный хаос и не добьемся каких-либо существенных улучшений в работе. Но ITIL обладает и таким уникальным преимуществом, как ориентация на результативную деятельность. Это означает, что ИТ - департамент может приобрести в организации иной статус, который позволит самостоятельно решать определенный круг вопросов в соответствии со своей компетенцией и выступать в роли поставщика ИТ - услуг. Кроме этого, ITIL не зависит от конкретных технологий и программно-аппаратных средств, обобщая мировой опыт организации и предоставления ИТ - услуг.

В российской практике ИТ - департамент часто выступает в роли функциональной единицы, а не самостоятельного подразделения. Однако есть (хотя и редки) противоположные примеры, когда компания концентрируется на основной деятельности, а службу, занимающуюся информационными технологиями, выделяет в самостоятельную организацию. В результате осуществление всех ИТ - проектов возлагается уже на стороннюю организацию, с которой заключается соответствующий договор. Выделение ИТ - департамента из общей структуры позволяет:

· выполнять весь объем заказов для головной организации-подрядчиков при выполнении специфических, разовых работ;

· добиться большего уровня специализации, а следовательно, квалификации и эффективности работы;

· принести дополнительную прибыль организации при выполнении проектов для других компаний;

· использовать собственные ресурсы с максимальной отдачей.

Отсюда можно сделать вывод, что методики и подходы стандарта ITIL могут способствовать разделению функций и повышению специализации организаций, а также соответствуют стратегии децентрализации управления.

Невозможно в рамках одной статьи рассмотреть все преимущества и недостатки использования стандартов CobiT и ITIL. Тем не менее понимание деятельности ИТ - департамента в виде системы процессов наверняка окажется очень полезным. Не всегда руководители крупных ИТ - департаментов могут четко представлять, как выполняются те или иные задания на местах. По этим причинам структура департамента строится на основе функционального разделения. Таким образом на уровне исполнителей могут проявляться проблемы неэффективной организации работ и чрезмерного использования ресурсов. Системный подход позволяет решить подобные проблемы и получить целостную картину информационной системы, включающей в себя не только аппаратные и программные средства, но и персонал, знания, внешние ограничения и т. д.

1.2 Влияние банковских информационных технологий на финансовое состояние кредитной организации

Применение систем электронной обработки данных существенно влияет на организационную структуру кредитной организации, внося следующие риски в систему ее финансово - хозяйственной деятельности:

· концентрация функций управления;

· концентрация данных и программ для их обработки.

Внедрение систем электронной обработки данных, как правило, предполагает существенное сокращение управленческого и контрольного персонала путем передачи его функций персоналу, обслуживающему эти системы. В результате происходит концентрация исполнительских и контрольных функций за системами электронной обработки данных в руках ограниченного числа лиц. Разделение обязанностей, необходимое для эффективного функционирования системы учета и контроля, может быть утрачено.

Концентрация (сосредоточение) баз данных в одном или нескольких местах, где она обычно хранится вместе с программами, обеспечивающими доступ к ним, повышает риск утери информации и несанкционированного доступа к ней.

Использование систем электронной обработки данных изменяет процедуры записи учетных данных и расширяет круг лиц, которые получают доступ к бухгалтерским записям. Это может привести к появлению следующих рисков:

· отсутствие первичных документов;

· отсутствие возможности наблюдения за разноской учетных данных по регистрам, их закрытием и составлением отчетности;

· отсутствие регистров учета;

· доступ к базе данных и программам систем электронной обработки данных несанкционированных пользователей.

В условиях электронной обработки данные могут вводиться непосредственно в компьютер без составления соответствующих первичных документов. Разрешения на совершение тех или иных операций, их визирование могут также проводиться внутри системы электронной обработки данных без составления специальных документов на бумажных носителях.

Ряд информационных систем не предусматривает архивирование промежуточных записей, и текущая информация в них постоянно обновляется. Тем самым существенно снижаются возможности контроля и анализа учетной информации.

...