Управление рисками осуществления профессиональной деятельности на рынке ценных бумаг и процедуры урегулирования убытков при реализации рисков
Издательский Дом
    Компании, способные контролировать свои риски, менее уязвимы по сравнению с конкурентами, так как основная часть потерь связана с рисками, контроль над которыми не осуществляется. Сегодня управление рисками, связанными с деятельностью институтов учетной системы, является одним из приоритетных направлений в менеджменте на рынке ценных бумаг.
    Размеры потерь от неконтролируемых рисков могут быть очень велики, равняясь порой прибыли организации. Тем не менее руководство компании зачастую не осознает реальной величины ущерба, а его очевидная часть рассматривается как неизбежные расходы.
    В действительности же многих потерь можно избежать, используя современные системы управления, в том числе основанные на методах контроля риска.
    Процесс управления рисками можно разделить на следующие этапы:
    1. Выбор анализируемых объектов и степени детальности их рассмотрения.
    2. Выбор методологии оценки рисков.
    3. Оценка рисков.
    4. Анализ последствий реализации рисков.
    5. Выбор мер по снижению рисков.
    6. Реализация и проверка выбранных мер.
    7. Оценка остаточного риска.
    Этапы 6 и 7 относятся к выбору защитных регуляторов, остальные - к оценке рисков. Управление рисками - процесс циклический, по существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.
    Очень важно выбрать разумную методологию оценки рисков, целью которой является получение ответа на два вопроса: приемлемы ли существующие риски и если нет, то какие защитные средства экономически выгодно использовать? Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками - типичная оптимизационная задача, и существует довольно много программных средств, способных помочь в ее решении. Принципиальная трудность, однако, состоит в неточности исходных данных. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой.
    Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности в деятельности института учетной системы.
    Управление рисками - процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
    Целесообразно выявлять не только сами риски, но и источники их возникновения - это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля и т.д. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы без-опасности.
    После идентификации рисков необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу: низкая (1), средняя (2) и высокая (3) вероятность.
    Кроме вероятности осуществления важен размер потенциального ущерба. Тяжесть ущерба также можно оценить по трехбалльной шкале.
    Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Оценивая вероятность реализации рисков, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных технологий, информационных систем.
    После того как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, т.е. собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
    Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Как правило, для ликвидации или устранения источника риска существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.
    Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению (подходящих средств, вероятно, будет несколько). Однако, если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.
    Важным обстоятельством является совместимость нового средства со сложившейся операционной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.
    Можно представить себе ситуацию, когда для уменьшения риска не существует эффективных и приемлемых по цене мер. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий.
    Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно распланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.
    Когда намеченные меры приняты, необходимо проверить их действенность, т.е. убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками.
    Основная цель этого этапа - разработка и проведение превентивных мероприятий, которые позволяют избежать событий, приводящих к возникновению убытков. Если это не представляется возможным, то нужно свести к минимуму вероятность наступления такого события и возможную степень его влияния.
    Учитывается, что расходы на контроль за рисками не должны превышать определенной доли прибыли на инвестированный капитал.
    Методы уменьшения риска разделяются на пять основных групп:
    1) физическая защита (например, организация охраны, автоматические системы пожаротушения и т.д.);
    2) организационные меры (систематические проверки и надзор, разработка и исполнение соответствующих инструкций и т.п.);
    3) обучение персонала;
    4) послеаварийные меры (наличие специальных служб и оборудования для ликвидации ущерба);
    5) юридическая защита (договорные обязательства, поручительства, гарантии).
    Выгоды от реализации плана сокращения рисков идут по двум направлениям:
    Риски, которые невозможно исключить или снизить до приемлемого уровня, предполагают их финансирование.
    Системы финансовых мер на случай риска включают все возможные средства покрытия финансовых последствий убытков. На практике это означает обеспечение способности предприятия или организации противостоять вероятным опасностям и страхование незащищенных рисков.
    Могут использоваться следующие финансовые меры, предусматриваемые на случай риска: