Разработка автоматизированной системы управления операционными IT-рисками

Размещено на http://www.allbest.ru/

РАЗРАБОТКА АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМИ IT-РИСКАМИ

Фахретдинова А.В., Наурусова Г.А.

Тюменский государственный архитектурно-строительный университет Тюмень, Россия

Неустойчивость развития финансовых рынков, возросшая конкуренция и диверсификация подвергают банки новым рискам и проблемам, требующего от них постоянного обновления способов, приемов управления бизнесом и связанными с ним рисками, чтобы сохранить его конкурентоспособность. Растущая рыночная ориентация банков также вызывает необходимость изменений принципов регулирования и надзора.

Особенностью операционного риска является то, что операционный риск возникает не только вовремя проведения операций, но он присущ всем процессам, сотрудникам, системам и внешним факторам. Поэтому по сравнению с иными видами рисков возможность прогнозирования и оценка некоторых видов операционного риска ограничена.

Управление операционными рисками направлено на снижение убытков от различного рода инцидентов операционного риска, обеспечение риск-менеджмента банка системой формирования комплексных мероприятий по предупреждению операционных рисков и разработке мер, направленных на минимизацию операционного риска.

Управление операционными рисками заключается в создании систем быстрого и адекватного реагирования на появление угроз рисков в целях предотвращения появления у банков убытков, а также исключения повторной реализации событий рисков.

В целом, система управления операционными рисками в банке включают в себя следующие этапы:

выявления (идентификация) операционного риска;

оценка операционного риска;

мониторинг операционного риска;

контроль и минимизация операционного риска.

Исходя из вышеперечисленных пунктов для того, чтобы усовершенствовать механизмы управления операционными рисками была разработана автоматизированная система для управления операционными ИТ-рисками.

Цель ИС для управления операционными IT-рисками:

проактивно выявлять новые операционные ИТ-риски;

предлагать пути минимизации рисков на основе оценок экспертов, выработанных ранее мер по минимизации типовых рисков;

обеспечивать поддержку активностей по минимизации рисков (выполнение мероприятий).

Задачи системы:

осуществление первичной проверки корректности предоставленных данных по рискам;

поддержание в актуальном состоянии реестра операционных ИТ-рисков;

проведение анализа предложенных мероприятий по снижению риска;

формирование набора типовых рисков на основе результатов экспертной оценки;

контроль выполнения утвержденных компенсационных мероприятий;

формирование периодической отчётности и отчётности по запросам;

поддержание в актуальном состоянии статусов мероприятий по рискам, путём сбора данных от ответственных лиц.

Система управления операционными ИТ-рисками предназначена для проактивного выявления операционных ИТ-рисков, предотвращения реализации ИТ-рисков или максимально возможного снижения потенциальных убытков (прямых или косвенных) при реализации рисков.

Система позволяет осуществлять фиксацию возможных негативных последствий при неблагоприятном стечении обстоятельств и инициацию проработки мероприятий по снижению вероятности наступления рискового события, либо минимизацию его последствий.

Охват и границы процесса управления операционными ИТ-рисками: процесс управляет всеми операционными ИТ-рисками ИТ-Блока Центрального аппарата Сбербанка России, а также Территориальных Банков (ТБ) и Подразделений центрального подчинения (ПЦП). Процесс не управляет операционными рисками, не относящимися к ИТ.

Общие требования к АС УОР (Автоматизированная система "Управление операционными ИТ-рисками") заключаются в следующем: зафиксировать информацию о рисковом событии (потенциальном или реализовавшемся) должен оформить назначенный распоряжением по банку риск-координатор ИТ-подразделения. Авторизация пользователя осуществляется с использованием учетной записи в Active Directory.

Рисунок 1 - Авторизация пользователя

В системе используются три роли:

Пользователь - любой сотрудник ИТ-подразделения. Идентифицирует риски своего подразделения; в рабочем порядке уведомляет риск-координатора для проведения дальнейшего анализа и принятии решения о необходимости ввода информации в АС УОР; имеет возможность формировать отчеты в АС в любой момент времени по выполнению КПЭ своего подразделения.

Риск-координатор - сотрудник ИТ-подразделения, назначенный на эту роль распоряжением по банку. Организует работу с рисками внутри своего подразделения - выявление, идентификация, и отправка на регистрацию, планирование и выполнение мероприятий по снижению риска; поддерживает актуальность рисков и приоритетных мероприятий по их снижению; несет ответственность за своевременное предоставление данных для агрегации. Не реже одного раза в неделю проводят актуализацию рисков подразделения в АС УОР.

Риск - менеджер - сотрудник ИТ-подразделения, выполняющий функции менеджера процесса управления ИТ-рисками. Координирует процесс управления операционными ИТрисками; согласует информацию по рисковым событиям, предоставленную рисккоординаторами подразделений; контролирует актуальность информации (сроки мероприятий, направленных на минимизацию рисков); контролирует выполнение КПЭ (Ключевой показатель эффективности) подразделений и процесса в целом.

Рабочая область АС УОР:

В зависимости от прав доступа представление для работы имеет определенный вид. Для риск-координатора - это область просмотра рисков подразделения с информированием о статусах, а также набор кнопок для реализации функционала: «добавить новый риск», «откорректировать риск», «отправить риск на согласование», «Сформировать отчет». Для риск-менеджера - это также область просмотра текущего реестра рисков с преимущественным отображением вновь заявленных/откорректированных рисков, а также набор кнопок «согласовать», «Отправить на доработку». Также у риск-менеджера должна быть возможность просмотра типовых рисков из соответствующего справочника и возможность внести изменения в него. Обязательной является функция формирования отчетности.

Размещено на http://www.allbest.ru/

Рисунок 2 - Группы доступа

Требования к регистрации рискового события:

Зарегистрировать операционный риск своего подразделения может сотрудник с ролью риск-координатор (согласно распоряжению по банку их назначается два - основной и резервный). Регистрация производится в отдельном окне программы, представленном на рисунке:

риск информационный операционный

Рисунок 3 - Окно регистрации рискового события

После заполнения всех вышеозначенных полей риск-координатор отправляет риск на согласование риск-менеджеру посредством нажатия соответствующей кнопки на форме, при этом риск-менеджеру приходит сообщение в MSOutlook о необходимости согласовать риск.

Рисунок 4 - Интеграция системы с Outlook

Для риск-координатора введенная информация становится доступной только для просмотра, (риск принимает статус «На регистрации»). Если риск-координатором не была нажата кнопка «отправить на регистрацию», то риск принимает статус «Новый» и остаётся доступным для просмотра самому риск-координатору.

При согласовании риск-менеджером предоставленной информации по риску, риск принимает статус «В работе» и становится доступным для дальнейшей работы рисккоординатору (актуализация информации). Важно отметить, что каждое изменение порождает необходимость согласования с риск-менеджером и вышеописанный процесс повторяется.

Для несогласованных рисков риск-менеджер использует статус «Отклонен». Такой риск может быть откорректирован риск-координатором в соответствии с замечаниями рискменеджера, либо удален из системы.

Требования к работе с типовыми рисками:

Зарегистрировать типовой операционный риск своего подразделения может сотрудник с ролью риск-координатор (согласно распоряжению по банку их назначается два - основной и резервный). Регистрация производится в отдельном окне программы, доступном как из родительского окна при заполнении информации о новом рисковом событии, так и как самостоятельная сущность представления, в котором работает риск-координатор с момента своей регистрации в системе. Обязательными для заполнения (при регистрации нового типового риска) являются поля:

Новый типовой риск должен быть согласован с риск-менеджером.

Уже зарегистрированный типовой риск может быть использован риск-координатором других подразделений с возможностью внесения своих мер по минимизации. Остальные изменения в типовой риск вносятся риск-менеджером по предварительному согласованию с руководством подразделений (возможно по инициативе риск-координаторов).

Рисунок 5 - Кнопки, доступные для работы с реестром

Требования к формируемой отчетности:

Система позволяет сформировать следующие виды отчетности, которые должны экспортироваться в MS Excel:

1) Реестр рисков - вся информация по зарегистрированным рискам с возможностью выбора критериев формирования (по периоду, по подразделению, по сроку устранения риска). Формат отчета расположена в Приложении 4; КПЭ подразделения - формируется в соответствии с Приложением 5;

Динамический отчет по выбранным параметрам. Является оперативным Благодаря информативным отчетам и методике расчета КПЭ каждого подразделения автоматизированная система по учету операционных ИТ-рисков обеспечивает весь цикл работы с рисковыми событиями в подразделениях ИТ-блока Западно-Сибирского банка ОАО «Сбербанк России», тем самым улучшая качество работы с рисками и оптимизируя работу по учету и оценке работ, направленных на их минимизацию.

2) отчетом. Доступен для формирования всем сотрудникам.

Рисунок 6 - Отчеты

Следует отметить, что разработанная система управления операционными рисками представляет собой взаимосвязанный комплекс организационных, методических, информационных средств, нацеленных на предупреждение возможных операционных рисков, минимизацию отрицательных последствий и недопущения повторных случаев операционного риска.

Список используемой литературы

1 Грабер, Мартин SQL. Справочное руководство; М.: Лори; Издание 2-е, 2011. - 354 c.

2 Грофф, Джеймс; Вайнберг, Пол SQL: полное руководство; Киев: BHV, 2008. - 608 c.

3 Шнайдер, Роберт Microsoft SQL Server 6.5. Проектирование высокопроизводительных баз данных; М.: Лори, 2012. - 361 c.

4 Рендольф Ник, Гарднер Дэвид, Минутилло Майкл, Андерсон Крис Visual Studio 2010 для профессионалов; Диалектика - Москва, 2011. - 692 c.

5 Рендольф Ник, Гарднер Дэвид, Минутилло Майкл, Андерсон Крис Visual Studio 2010 для профессионалов; Диалектика - Москва, 2011. - 692 c.

Размещено на Allbest.ru