Проблемы безопасности банковских операций

• отсутствие персональной ответственности должностных лиц  банка за сохранность сведений ограниченного доступа;

• допуск к сведениям  ограниченного доступа необоснованно широкого круга лиц;

• нарушения правил специального делопроизводства;

• невозможность поддержания  на необходимом уровне режима защиты;

• несоблюдение надлежащего  порядка проведения важных совещаний, конфиденциальных переговоров;

• нарушения пропускного  режима охраны банка;

• незащищенность технических  каналов утечки сведений;

• фрагментарное проведение профилактических мероприятий по предупреждению нарушений режима зашиты;

• несвоевременный контроль за соблюдением режима защиты сведений ограниченного доступа.

К числу иных нарушений  порядка и правил соблюдения режима безопасности в банке относятся нарушения установленных правил физической охраны банка, перевозок наличных денег и ценностей, противопожарной и радиационной безопасности, отсутствие контроля за объектами жизнеобеспечения и т. п.

Внутренние угрозы безопасности являются, в принципе, постоянными, не зависящими от роли, места, значения банка и от направленности внешних  угроз безопасности.

Таким образом, перечень угроз безопасности банка весьма значителен и разнообразен по содержанию. Успешно противостоять им возможно только на основе комплексного подхода⁴.

Угрозы финансовым ресурсам банков проявляются в виде:

• невозврата предоставленных кредитов;
• мошенничества со счетами и вкладами;
• фиктивных платежных документов (балансов, платежных поручений, векселей, ценных бумаг и т. д.);
• ограбления касс и инкассаторских машин.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 2 Проблемы организации  безопасности банковских операций

 

2.1 Риск-менеджмент в банковской  сфере

 

Принятию решения о возможных направлениях противодействия угрозам предшествует серьезная аналитическая работа. На первом этапе производится анализ текущей ситуации, имеющий целью подготовить необходимый объем сведений для последующих этапов. Выполнение этой работы требует наличия хорошо подготовленных специалистов, методов, методик и специального инструментария.

Вторым очень важным этапом алгоритма риск-менеджмента  является спецификация риска, которая  предполагает идентификацию объектов и источников угроз негативных воздействий, а также оценку в количественном выражении вероятности реализации угрозы и размеров возможного ущерба и потерь. Данный этап включает в себя последовательное решение задач: спецификации объектов угроз, спецификации угроз, измерения и ранжирования рисков для объектов безопасности⁵.

В качестве объектов безопасности обычно выступают люди и материальные ценности (в последнее время все  большее внимание стало уделяться информационной составляющей того или иного вида деятельности). Спецификация объектов безопасности активов производится в виде структурированного перечня.

После того, как потенциальные  объекты безопасности специфицированы, следующим шагом является спецификация угроз, которые могут приводить к ущербу. В соответствии с общим определением угрозу безопасности можно рассматривать как некий фактор, создающий опасность объектам безопасности. Поэтому для спецификации угроз необходимо структурировать и однозначно поименовать все факторы и негативные воздействия, которые могут причинить какой-либо ущерб.

Невозможно внести в  список все угрозы, которым подвергается любой объект и которые изменяются с течением времени. Но в любом случае должны учитываться факторы:

• прямого воздействия;

• косвенного воздействия;

• фоновые (определяющие общую ситуацию).

Детальное понимание  ситуации с угрозами является необходимым, но недостаточным условием для обеспечения  безопасности объекта. Также нужно  знание количественных характеристик ситуации: вероятности (частоты) реализации угроз, величины ущерба в его различных составляющих (материальные, людские, финансовые, информационные потери и т.п.).

Для некоторых угроз  оценка вероятности их реализации может  быть несложной. Другие риски более  трудно предсказать. Реальные негативные воздействия угроз на объекты безопасности могут вести к появлению ущерба. Тогда актуальность представляет не только характер (сущность), но и размер ущерба.

Следующим этапом риск-менеджмента  является оценка возможностей банка по противодействию угрозам. При этом следует отметить, что выбор инструментов противодействия во многом связан не только с имеющимися силами и средствами, но и с психологией руководителей банка, их профессиональной подготовкой. То, что приемлемо для одного человека, другой сочтет чрезмерно опасным или дорогостоящим и исключит из дальнейшего рассмотрения. При наличии предварительно специфицированного потенциального ущерба (это наиболее трудная задача аудита безопасности) возможно его сравнение с затратами на средства противодействия. Это позволяет определить приоритеты действий (альтернатив).

Одним из основных этапов риск-менеджмента является количественная оценка риска. Общепринятым в специальной литературе и практике считается варьирование сочетаниями вероятностями наступления негативного события и размерами ущерба при его возможных исходах. Кратко рассмотрим подходы к измерению рисков применительно к банковской деятельности. Различают экспертный, расчетно-аналитический и статистический методы измерения риска⁶.

Экспертный метод реализуется, как известно, исходя из мнений соответствующих специалистов о вероятностях возникновения потерь определенных уровней. Расчетно-аналитический подход базируется на прикладных математических методах, в том числе - основанных на анализе и исчислении различных коэффициентов. Примером может служить норматив Центробанка, характеризующий максимальный размер риска банка на одного заемщика⁷:

Н_mах = Р/К,

где

Н_mах - максимальный размер риска на одного заемщика;

Р - размер риска банка (совокупная сумма обязательств заемщика банку  по кредитам, а также 90% балансовых обязательств, выданных банком в отношении заемщика, которые предусматривают исполнение в денежной форме);

К - капитал банка.

В статистической теории риск 0 представляют математическим ожиданием ущерба от множества событий, к нему приводящих:

 

Q = Σpi * gi

где

pi вероятность i-го события,

gi - ущерб от i-го события,

j =1,2,...,J.

Таким образом, данная формула  включает оценку:

• вероятности реализации угрозы (негативного исхода);

• стоимости ущерба при неблагоприятном исходе. Здесь в стоимость ущерба можно включать стоимость расходов на восстановление и др.

Эта формула показывает возможные направления увеличения экономической безопасности: уменьшение вероятностей негативных событий (при всех рj = 0 безопасность абсолютна) и снижение размеров возможных ущербов по их различным вариантам. Интегральный результат 0, вообще говоря, и может выступать степенью опасности для экономики. Из формулы следует, что для измерения риска необходимы количественные значения вероятности угрозы и потенциальной стоимости ущерба.

Очевидно, что при наличии  адекватных статистических или эмпирических данных ожидание потерь может прогнозироваться с высокой степенью точности, а сама процедура оценки становится довольно рутинной. При отсутствии таких данных операция прогнозирования существенно осложняется, и для ее осуществления требуется проведение экспертных процедур. Реально в силу известных трудностей статистической оценки вероятностей угроз безопасности банка возможен переход, применительно к некоторым из них, к лингвистическим оценкам типа «высокая», «средняя», «низкая».

Частоту реализации угроз  нужно рассматривать за определенный период времени. Поскольку бюджеты банка обычно рассматриваются ежегодно, год - наиболее подходящий для этого период. При этом нужно учитывать, что рисковые события имеют совершенно разную частоту проявления: некоторые случаи могут происходить раз в несколько лет или десятилетий, а другие - ежедневно или много раз в день. Естественно, такими временными интервалами трудно оперировать на практике.

Значительно удобнее  работать с интервалами, кратными 10. Это позволяет более гибко оперировать событиями, которые имеют как низкую, так и высокую вероятность возникновения.

При анализе риска точное знание частоты реализации угрозы и величина ущерба не являются принципиально важными. Поэтому для упрощения анализа рассмотрим следующее логическое правило: ущерб и частоту представим численно кратными 10 (таблицы 1 и 2), сопоставив им ряды дискретных величин g и f, изменяющихся в диапазоне 1,2,3,....j.

 

Таблица 1

$	10	100	1.000	10.000	100.000	1.000000	10.000.000	100.000.000
g	1	2	3	4	5	6	7	8

 

Таблица 2

Частота	1/300 лет	1/30 лет	1/3 года	1/100 дней	1/10 дней	1/1 день	10/1 день	100/1 день
f	1	2	3	4	5	6	7	8

 

Используя таблицы 1 и 2, определим  для каждой из угроз j = 1,2,...,J величину ежегодного ожидания потерь Еj по следующей формуле:

 

Еj = 2 * ехр (fj + gj -2) / ехр (G + F -2),

где

G,F = Мах f, Мах g.

Общий ежегодный ущерб  Е определяется простым суммированием  величин Еj по всем видам угроз⁸:

J

E = Σ Ej

J = 1

2.2 Организация централизованной  службы банковской безопасности  для предупреждения совершения  преступлений в банках 

 

В условиях рыночной экономики деятельность хозяйствующего субъекта сопряжена с рисками экономического, криминального, социально-политического, административно-правового и техногенного характера.

К некоторым типичным преступлениям на сегодняшний момент можно отнести:

• попытки получить кредит под несуществующий залог,
• перевод средств через несколько банков, чтобы деньги «затерялись»,
• подделка ряда документов и компьютерных программ для получения клиентом денег,
• значительно превышающих текущее состояние счета,
• проведение межбанковских операций для получения личной наживы (например, при сговоре валютных дилеров),
• сговор преступников и сотрудников с целью ограбления банка, создание банков для отмывания средств, полученных незаконным путем,
• промышленно-экономический шпионаж,
• дестабилизация деятельности банка и т.д.

По этим причинам, предотвращение формирования преступных групп и выявление отдельных лиц с потенциальной возможностью участия в преступной акции, их выявление и прогнозирование развития являются одними из важнейших задач системы безопасности банков. Однако анализ большого количества персонала банков затруднителен без использования средств централизованных средств автоматизации. Опыт работы питерских банков, основанный на введении контроля клиентов, зарегистрированных в единой банковской системе, позволил снизить преступления, совершаемые на межбанковском уровне. Проведенный анализ сферы банковской безопасности московских банков выявил ряд проблем, для решения которых целесообразно создать Централизованную службу банковской безопасности с Единым информационным центром при Ассоциации российских банков.

Централизованная служба банковской безопасности (ЦСББ) может успешно решать задачи комплексного обеспечения безопасности банков за счет централизованной обработки информации, узкой специализации на вопросах безопасности банков, высокой степени доверия к ЦСББ как отражающей интересы финансирующих ее банков. Наличие информационной базы данных, которая будет интегрирована с базами данных других ведомств, позволит значительно повысить эффективность получения информации, снизить затраты на ее получение и обработку.

ЦСББ должна решать следующие  задачи:

• Анализ поступающей  информации и выдача рекомендаций о  банках, финансовых компаниях, сотрудниках, поступающих на работу.

• Консультации по вопросам безопасности.

• Проведение системных  обследований банков.

• Потоковые проверки сотрудников банков.

• Прогнозирование межбанковских  махинаций.