Визначення цінності ресурсів

Ресурси поділяються на кілька класів: фізичні, програмні і дані. Для кожного класу повинна існувати своя методика оцінювання елементів. Для оцінювання ресурсів вибирається певна система критеріїв. Критерії повинні враховувати потенційні збитки, пов'язаний з порушенням конфіденційності, цілісності, доступності.

Цінність фізичних ресурсів встановлюють з точки зору їх вартості чи заміни відновлення працездатності. Ці вартісні величини перетворюють в якісну шкалу, що використовується також для інформаційних ресурсів. Програмні ресурси оцінюються за таким же способом, що і фізичні, на основі визначення витрат на їхнє придбання чи відновлення. Якщо для інформаційного ресурсу існують особливі вимоги до конфіденційності і цілісності інформації, то оцінка даного ресурсу здійснюється за тією ж схемою у вартісному вираженні.

Окрім критеріїв, що враховують фінансові втрати, для банків важливими є критерії, що відображають:

- збитки репутації банку;

- неприємності (матеріальні, моральні), пов'язані з порушенням чинного законодавства;

- збитки здоров'ю персоналу;

- збитки, пов'язаний з розголошенням персональних даних окремих
осіб;

- фінансові втрати від розголошення інформації;

- фінансові втрати, пов'язані з відновленням ресурсів;

- втрати, пов'язані з неможливістю виконання зобов'язань;

- збитки від дезорганізації діяльності банку.

В залежності від профілю банку можуть виникнути і інші критерії.

5.5.2. Оцінка характеристик факторів ризику

Ресурси слід проаналізувати з точки зору оцінки можливого нападу (спланованих дій внутрішніх чи зовнішніх зловмисників) і різних небажаних подій природнього походження. Такі потенційно можливі події звуть загрозами безпеки. Крім того, необхідно ідентифікувати вразливості - слабості системи захисту, що роблять можливою реалізацію загроз.

Для конкретизації імовірність реалізації загрози розглядається деякий відрізок часу, протягом якого передбачається захищати ресурс. Імовірність того, що загроза буде реалізована, визначається наступними факторами:

=> привабливістю ресурсу (цей показник враховується при аналізі

згрози навмисного впливу зі сторони людини);

=> можливість використання ресурсу для отримання прибутку

(показник враховується при аналізі загрози навмисного впливу зі

сторони людини);

=> простотою використання вразливості при здійснені нападу.

На даний час існує багато методів оцінки загроз, більшість з яких побудовані на використанні таблиць. Такі методи є доволі простими і ефективними у застосуванні. Однак не існує найкращого методу, тому що в різних випадках вони будуть різними. Важливо з наявного різноманіття методів вибрати саме той, який забезпечить позитивний результат для конкретної банківської установи.

5.5.3. Ранжування загроз

При використанні матриці чи таблиці можна наочно відобразити зв'язок факторів негативного впливу (показників ресурсів) та імовірності реалізації загрози з врахуванням показників вразливості (табл. 1).

На першому кроці оцінюється негативний вплив (показник ресурсу) за заздалегідь визначеною шкалою, наприклад від 1 до 5, для кожного ресурсу, якому загрожує небезпека (стовпчик b у табл. 1.).

На другому - по заздалегідь заданій шкалі, наприклад від 1 до 5, оцінюється імовірність реалізації кожної загрози.

Таблиця 1.

Імовірність реалізації загрози з врахуванням показників вразливості

Дескриптор загрози (а)	Показник негативного впливу (на ресурс) (b)	Імовірність реалізації загрози (с)	Показник ризику (d)	Ранг загрози   (e)
Загроза А
Загроза В
Загроза С
Загроза D
Загроза E
Загроза F

На третьому кроці обчислюється показник ризику. У найпростішому варіанті методики це робиться шляхом перемножування (b × c). Однак необхідно пам'ятати, що операція множення визначена для кількісних шкал. Для рангових (якісних) шкал, якими є показник негативного впливу та імовірність реалізації загрози, приміром, зовсім необов'язково показник ризику, що відповідає ситуації b = 1, с = 3, буде еквівалентний b = 3, с = 1. Відповідно, має бути розроблена методика оцінювання показників ризиків стосовно конкретної банківської установи.

На четвертому кроці загрози ранжуються величинами фактору ризику.

 

Оцінка рівнів ризику

Розглянемо метод, побудований на використанні таблиць, що враховує лише вартісні характеристики ресурсів. Вартість фізичних ресурсів оцінюється з погляду вартості їхньої заміни відновлення працездатності (тобто кількісних показників). Ці вартісні величини згодом переводять в якісну шкалу, що використовується також для інформаційних ресурсів. Програмні ресурси оцінюють за таким же способом, що і фізичні, виходячи з витрат на їхнє придбання чи відновлення.

Якщо для інформаційного ресурсу існують особливі вимоги до конфіденційності або цілісності, то оцінка даного ресурсу здійснюється за тією ж схемою, тобто у вартісному вираженні.

Кількісні показники інформаційних ресурсів оцінюються на підставі опитувань співробітників банку (власників інформації) - тих хто може оцінити цінність інформації, визначити її характеристики та ступінь критичності. На основі результатів опитування здійснюється оцінювання показників і ступеню критичності інформаційних ресурсів для найгіршого варіанту розвитку подій. Розглядається потенційний вплив на бізнес-процес при можливому несанкціонованому ознайомленні з інформацією, зміні інформації, відмові від виконання обробки інформації, недоступності на різні терміни та руйнуванні. Далі розробляється система показників у певній шкалі. Таким чином, кількісні показники використовуються там, де це припустимо і виправдано, а якісні - де кількісні оцінки неможливі.

Для кожної групи ресурсів, пов'язаній з даною загрозою, оцінюється рівень загрози (імовірність реалізації) і ступінь вразливості (легкість реалізації загрози, що призводить до негативного впливу). Оцінювання здійснюється в якісних шкалах.

5.5.5. Поділ ризиків на прийнятні і неприйнятні

Інший спосіб оцінювання ризиків полягає в поділі їх лише на прийняті і неприйнятні. Підхід ґрунтується на тому, що кількісні показники ризиків використовуються для їх упорядкування і визначення черговості дій. Але цього ж можна досягти і меншими витратами.

Матриця, що використовується при запропонованому підході, містить не числа, а лише символи Д (ризик допустимий) і Н (ризик не допустимий).

Кожний рядок матриці визначається показником ресурсу, а кожний стовбець - ступенем небезпеки загрози та вразливості. Розмір матриці, що враховує кількість ступенів загроз і вразливостей, категорій ресурсів, може бути іншим і визначається конкретною банківською установою.

Узагальнений досвід банківської діяльності свідчить, що системоутворюючим елементом керування ризиками в бізнесі є інформаційно-аналітична діяльність. Саме на її базі і будується система комплексної безпеки, яка покликана виявляти і прогнозувати зовнішні і внутрішні загрози, а також здійснювати необхідний комплекс дій по їх попередженню і нейтралізації.

При прогнозуванні і мінімізації ризиків інформаційна підтримка має важливе, але не виняткове значення. Для вирішення проблеми слід здійснити ряд заходів, спрямованих на забезпечення захисту підприємництва та особистості. На даний час відсутня струнка системи класифікації підприємницьких ризиків. Існуючі підходи класифікації ризиків недостатньо повно відображають всю множину ризиків, а тому обов'язковим є визначения їх типів та груповання за визначеними ознаками.

Першочерговим є оцінка стану керування ризиками в банку, що передбачає проходження наступних етапів:

=> встановлення причин, факторів та джерел ризиків в банку;

=> ідентифікація ризиків банку;

=> побудова профілю ризиків;

=> інтегральна оцінка ризиків банку по профілю;

=> аналіз заходів щодо управління ризиками;

=> оцінка ефективності застосованих заходів.

Дослідження стану керування ризиками здійснюється при дотриманні наступних принципів:

ð комплексності, що дозволяє охопити організаційні, інформаційні,

виробничо-технічні, соціальні, економічні та юридичні аспекти

проблеми;

ð науковості, що базується на визначенні оптимального варіанту дій

для досягнення поставленої мети;

ð системності, що представляє об'єкт дослідження у вигляді цілісної

системи;

ð прогресивності, що означає відповідність дослідження передовим

методам і методикам світового рівня.

Дослідження організації управління ризиками в банку слід здійснювати в три етапи (рис. 16).

Рис. 16. Схема здійснення дослідження організації управління ризиками.

5.5.7. Дослідженнч впливу ризиків на діяльність банків. ЕТАП 1

Етап складається з восьми послідовних кроків:

1. Розпізнавання об'єкту дослідження. Мета - визначення узагальненої характеристики об'єкта, що дозволяє представити його як систему, а також як частину системи більш високого порядку.

2. Аналіз об'єкту. Здійснюється за наступними напрямками (рис. 17):

- аналіз макросередовища;

- аналіз мікросередовища.

Здійснення аналізу макросередовища здійснюється шляхом вивчення спеціалізованих ЗМІ про стан у галузі за попередні 3-5 років. Для здійснення аналізу мікросередовища банку, а також його безпосереднього оточення використовують наступні документи:

1) організаційно-структурна схема керування банком;

2) штатний розклад;

3) бухгалтерська звітність;

4) статут банку;

5) комплект нормативних документів про підрозділи банку;

6) комплект посадових інструкцій співробітників;

7) перелік клієнтів, банківські угоди;

8) звіти про діяльність банку за попередній період, проведення аналізу за останні 3 роки;

9) плани роботи з удосконалювання і т.д.;

10) перелік випадків НСД (за останні 3 роки);

11) інформація про судові справи, в яких брали участь співробітники банку (за останні 3 роки);

12) список осіб, що подавали заяву на звільнення;

13) список співробітників, що працюють не за основним фахом;

14) обсяг і види послуг, що надаються співробітникам банку;

15) відомості про плинність кадрів;

16) відомості про адмінпокарання та штрафи співробітників;

17) інформація про страхування об'єктів і т.д.

Розпізнавання об’єкту дослідження
Мета	Структура	Межі

 

Аналіз об’єкту

 

Виявлення ознак ризику
Фактори	Причини	Джерела

Визначення областей і зон ризиків

 

Ідентифікація ризиків банку

 

Встановлення ризиків банку за ідентифікованими ризиками

Необхідність інтегральної оцінки ризиків банку

 

Побудови профілю ризиків

Рис. 17. Процес дослідження впливу ризиків на діяльність банку

3. Виявлення ознак ризиків. За підсумками проведеного аналізу (крок 2) за допомогою методу експертних оцінок визначаються фактори, причини, джерела ризиків банку. Експертам пропонується оцінити також можливі джерела ризиків. За результатами опитування виробляється розрахунок середнього значення (в балах). Виходячи з цього, робиться висновок про наявність конкретної причині виникнення ризику в досліджуваному банку. На підставі отриманих результатів, а також оціночних припущень, виробляється SWOT - аналіз банку (Strength Weakness Opportunity – якісний підхід, що базується на порівнянні протилежних якостей проекту). Результатом аналізу банку є встановлення сильних і слабких сторін банку, виявлення наявних та потенційних загроз і можливості їх нейтралізації.

4. Визначення областей і зон ризиків. Даний крок здійснюється за допомогою системно-цільового підходу.

5. Ідентифікація ризиків банку. Виявляються всі характерні для банків ризики відповідно до встановлених факторів, причин і джерел ризиків, а також здійснюється їх ранжування. Ранжування можна також здійснити методом експертних оцінок. Кожному ризику присвоюється коефіцієнт у кількісній шкалі від 1 до 10. Максимальна оцінка відповідає найбільш суттєвому ризику.

6. Оцінка ситуації за ідентифікованими ризиками. Визначається рівень кожного ризику (відсутність, низький, невисокий, високий) і тенденція до його зміни (зниження, збереження, збільшення).

7. Інтегральна оцінка ризику банку. Здійснюється за допомогою шкали оцінки ризиків на основі отриманих результатів при реалізації кроку. Виходячи з рівня ризиків, властивих банку, визначається оцінка кожного ризику за формулою:

D i = L i × γ i (1)

де D i - оцінка і-го ризику; L i - вага і-го ризику;

γ i- бал, пов’язаний з i-м ризиком.

Інтегральна оцінка (γ) ризику дорівнює:

γ = γ _і (2).

Інтегральна оцінка ризику лежить у межах:

0 ≤ γ ≤ 7 (3).

З наведеного слідує: якщо γ = 0, то ризик відсутній; якщо γ = 7, то ризик

- катастрофічний.

8. Побудова профілю ризиків. За отриманими оцінками здійснюють формування груп ризиків, що відображають специфіку банку та встановлюють пріоритети.

 

5.5.8. Дослідження процесу управління ризиками. ЕТАП 2

Дослідження здійснюється впродовж трьох послідовних кроків (рис. 18).

Виявлення ризиків у роботі банку
Враховані	Знехтувані
Аналіз заходів щодо управління	2
Можливі альтернативи	Засоби, що застосовуються
Вибір ефективності засобів

1. Виявлення ризиків у роботі банку. Визначення властивих для даного банку загроз, оцінка можливих збитків, оцінка ступеню ризиків.

 

Рис. 18. Процедура дослідження процесу управління ризиками

В результаті ухвалюється рішення про те, які ризики будуть враховуватися, а якими можна знехтувати.

2. Аналіз заходів щодо управління ризиками. Аналіз здійснюється в двох напрямках:

1. Аналіз можливих альтернатив (альтернативи вибираються на основі
досвіду банку чи аналогічних банків).

2. Аналіз засобів, що застосовуються (рис. 19).

Рис. 19. Схема аналізу засобів, що використовуються.

3. Вибір ефективних прийомів управління ризиками. Даний крок здійснюється на основі даних табл. 2.

Таблиця 2

Засоби управління ризиками

Засіб	Витрати	Ефективність
	Х1	Э1
	Х2	Э2
…	Х…	Э…
N	XN	ЭN

5.5.9. Оцінка організації управління ризиками. ЕТАП 3

Даний етап проводиться за підсумками двох попередніх. При оцінці організації управління ризиками необхідно розглянути структуру управління, забезпечення управління, а також персонал, що бере участь у процесі управління і зв’язків, що виникають при цьому (рис. 20).

Рис. 20. Оцінка організації управління ризиками банку

1. Аналіз структури управління ризиками. Розглядається наявність (відсутності) у банку організаційної і функціональної структур управління ризиками.

2. Аналіз забезпечення процесу управління ризиками. Враховується інформаційне, організаційно-правове, кадрове, фінансове, програмно-математичне, лінгвістичне і технічне забезпечення процесу керування ризиками.

3. Технологія управління ризиками. Розглядається механізм управління ризиками, що існує у банку (за підсумками етапу 2). За результатами проведених досліджень (етапи 1 - 3) робиться висновок про стан організації управління в банку.