Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Создавалась УРСИТ Федеральным советом по проверкам финансовых учреждений [139] Federal Financial Institutions Examination Council (FFIEC). , который является общим методическим органом для учреждений США, выполняющих регулятивно-надзорные функции в банковской системе, — основные из них: Федеральная резервная система (FRS), Управление контролера денежного обращения (ОСС) и Федеральная корпорация страхования депозитов (FDIC) [140] УРСИТ используется также Управлением по надзору за сберегательными учреждениями (OTS). . В описании УРСИТ, официально зарегистрированной в США’, указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании информационных технологий и выявления тех учреждений и провайдеров услуг, в отношении которых необходимо особое внимание со стороны надзора». В то же время такими разработками пользуются и коммерческие банки, и другие финансовые учреждения США.

Основная цель применения УРСИТ заключается в выявлении таких организаций, чьи состояние или работа в части выполнения функций, реализуемых информационными технологиями, требуют специального контроля со стороны надзора. Эта рейтинговая система помогает проверяющим в оценке риска и описании установленных в ходе проверки фактов, поэтому система включает описания так называемых «компонентных» и «суммарных» (композитных) рейтингов, а также идентификацию рисков и оцениваемых факторов, которые учитываются при присвоении компонентных рейтингов. В рамках УРСИТ любое из контролируемых (проверяемых) финансовых учреждений или провайдеров услуг получает композитную рейтинговую оценку, которая основана на оценивании и присваивании рейтингов четырем компонентам, характеризующим деятельность организаций в части ИТ. Этими компонентами являются, по сути, четыре внутренних процедуры в самой организации, а именно:

1) проведение аудита ИТ;

2) управленческая деятельность в части ИТ;

3) организация системных разработок и приобретений;

4) организация поддержки и сопровождения ИТ.

Как для суммарного, так и для компонентных рейтингов используются цифровые оценки в диапазоне от 1 до 5 (соответственно от наилучшего случая к наихудшему). Итоговый рейтинг ассоциирован со следующими экспертными оценками (формулировками):

1 — безупречное функционирование;

2 — надежное и устойчивое функционирование;

3 — требуется незначительное надзорное внимание;

4 — ненадежные и неустойчивые условия работы;

5 — критическая операционная ситуация.

Основным назначением суммарного рейтинга является идентификация тех финансовых учреждений и провайдеров услуг, которые обнаруживают слишком большую уязвимость к рискам, ассоциируемым с информационными технологиями. Поэтому отдельной подверженности риску, которая явно влияет на жизнеспособность данной организации и (или) ее клиентов, должен присваиваться более высокий весовой коэффициент в суммарном рейтинге.

Суммарный рейтинг получается посредством суммирования качественных оценок [141] В оригинале использован термин «качественное суммирование» — qualitative summarization. всех четырех компонентов. Между суммарным рейтингом и компонентными рейтингами функционирования существует связь, в то же время суммарный рейтинг не является арифметическим средним его компонентов. При использовании риск-ориентированного подхода простой арифметический расчет не отражает реального состояния ИТ. Любой низкий рейтинг одного компонента может сильно повлиять на общий суммарный рейтинг для того или иного учреждения. К примеру, если функция аудита реализуется неадекватно, то целостность автоматизированных систем как таковую нельзя с уверенностью подтвердить. Подходящим обычно оказывается значение суммарного рейтинга, не дотягивающее до удовлетворительного («3» — «5»), Таким образом, система УРСИТ имеет пирамидальную структуру, которая представлена на рис. 5.5. В его нижней части показана «плоскость рейтинговых компонентов», т. е. некая воображаемая область группирования первичных выводов, в которой овалы имеют условный радиус, равный 5, а радиальные линии представляют собой оси оценок. Пунктирами показаны своего рода конусы, сводящие компонентные рейтинги в значения суммарных рейтингов (собственно частные оценки не показаны, чтобы не загромождать рисунок, — предполагается, что это метки на радиусах, от которых отходят вверх линии «логических выводов»).

Можно обратить внимание на сходство представленной иллюстрации с конструкцией, изображенной на рис. 2.1, что свидетельствует о возможности объединения рассмотренных подходов.

Четыре основных компонента УРСИТ, определяемых так же, как основные составные части деятельности организаций в области ИТ — «Аудит», «Менеджмент», «Разработка и приобретения», «Поддержка и сопровождение», — используются для оценки так называемых «общих характеристик» функционирования организаций в части ИТ. Композитные рейтинги ИТ и каждый компонентный рейтинг определяются по шкале от 1 до 5 в нисходящем порядке по степени надзорного внимания:

1 представляет наивысший рейтинг и интерпретируется как наилучшее функционирование проверенной организации и управление в ней при достаточности наименьшего внимания со стороны надзора, тогда как 5 представляет самый низкий рейтинг и интерпретируется как наихудшее функционирование организации и управление в ней, требующее наибольшего внимания со стороны банковского надзора.

1. В части аудита рассматриваются:

— независимость;

— адекватность применяемой методики анализа риска;

— масштаб охвата;

— участие в разработках, закупках аппаратно-программных средств и т. п.;

— планирование аудиторских мероприятий;

— квалификация и компетентность специалистов;

— периодичность проведения и последующий контроль.

2. Оценка деятельности руководства кредитной организации осуществляется по следующим показателям:

— степень и качество наблюдения со стороны совета директоров и высшего руководства банка за информационными технологиями;

— планирование новых видов деятельности;

— реакция на изменяющиеся условия;

— организация внутренней отчетности и информирование руководства;

— адекватность внутренней политики банка и средств контроля;

— эффективность системы мониторинга рисков;

— содержание и качество договоров с провайдерами и клиентами.