Использование информационных систем при осуществлении финансовых операций

Правильное осуществление сделок зависит не только от взаимодействия сотрудников и наличия системы внутреннего контроля. В настоящее время все основные операции в финансовых учреждениях – от заключения сделок до их отражения в бухгалтерском учете – в основном обрабатываются компьютерными информационными системами (ИС).

Такие системы являются важным предметом исследования операционного риск-менеджмента, ставящего своей целью контроль за потоками информации. Проблемы в области информационных технологий (ИТ) косвенно могут стать причиной значительных финансовых потерь, например в виде штрафов за нелицензионное программное обеспечение, расходов на закупку техники, вынужденных задержек в обработке данных.

Ввиду этого в финансовых компаниях предъявляются все более жесткие требования к надежности и функциональности информационных систем. Так, Группа тридцати (The Group of Thirty – G30) в своих рекомендациях по практике и принципам операций с производными инструментами обращает внимание на «адекватность систем ввода, обработки данных, проведения расчетов и подготовки отчетов руководству, что обеспечивает выполнение операций с производными инструментами в соответствии с утвержденным регламентом» (Рекомендация № 17).

Главной целью контроля за использованием ИС является предотвращение несанкционированных изменений нормативно-справочной информации и изменения параметров автоматических расчетов, ввода неправильной информации о сделках и их авторизации. В качестве предупредительных мероприятий в сфере ИТ рекомендуется регулярное резервное копирование данных и защита информационных систем от внешних атак и компьютерных вирусов.

Организация информационных систем

Типичная структура информационных систем представлена на рис. 1.

Рис. 1. Структура информационной системы

Точность, полнота, достоверность и доступность – основные критерии качества информации, которые следует учитывать, анализируя такие особенности ИС, как уровень централизации данных, используемые виды программного обеспечения, их интеграция между собой и безопасность электронной информации. Дополнительными (но не менее важными) требованиями являются ее целостность, своевременность, ограниченность доступа.

Хранение информации в централизованной базе данных позволяет отслеживать всю деятельность компании и эффективно управлять рисками в целом по компании, имея возможность анализировать каждую операцию или сделку в отдельности. Однако централизация информации еще не означает, что существует единое программное обеспечение (ПО), которое полностью автоматизирует обработку всех операций, осуществляющихся в компании.

Поскольку различные системы могут использоваться для получения информации из внешних источников, обработки операций, подготовки аналитических отчетов и составления прогнозов, возникает проблема интеграции разнородных информационных ресурсов. Полностью универсальные системы для учета всех продуктов, операций, стадий их обработки вряд ли существуют.

Хотя некоторые компании стремятся самостоятельно создать такие системы, в основном используется другой подход, который заключается в том, чтобы пробрести более простые, настраиваемые системы и адаптировать их под деятельность конкретной финансовой организации в соответствии со спецификой ее деятельности. В итоге единая информационная сеть состоит из нескольких взаимосвязанных многофункциональных приложений, работающих в режиме реального времени с централизованной базой данных (рис. 2).

Поиск оптимального баланса между постоянством информационной системы и ее функциональностью и адаптируемостью представляет собой сложную задачу, решение которой требует сочетания информационных технологий и методик управления финансовыми рисками.

Рис. 2. Общая схема интегрированной информационной системы

Помимо технологических аспектов построения информационной системы важное значение для операционного риск-менеджмента имеют принципы информационной безопасности в компьютерной среде.

Эти требования должны быть реализованы на всех уровнях и на всех этапах обработки информации в системе: как на уровне приложений, так и на уровне хранения данных; как на этапе ввода данных, так и на этапе автоматических процедур. После ввода, верификации и авторизации операций объем ручной работы с информацией должен быть минимален (рис. 3).

Рис. 3. Процедура ввода данных об операциях

Приведем некоторые правила информационной безопасности, изложенные в «Общепринятых принципах управления риском» (Generally Accepted Risk Principles).

Принцип № 86. Защита системы и модели

Техническая организация ИТ должна обеспечивать необходимый уровень защиты данных для обеспечения целостности и конфиденциальности информации, а также информационных систем и моделей фирмы. Безопасность ИТ включает себя следующие элементы.

Права доступа

Во всех системах должны разграничиваться права доступа к информации в зависимости от функций и полномочий сотрудников, работающих с данными системами.

Контроль за действиями пользователей

Все пользователи должны работать в системе под своим сетевым именем и уникальным паролем, который должен периодически меняться. Все действия работников должны регистрироваться в автоматическом журнале операций.

Безопасность данных

Аналогичные процедуры защиты информации должны предотвратить несанкционированный доступ к данным из внешних сетей (Интернета). При передаче конфиденциальных данных по открытым каналам связи необходимо использовать методы криптографической защиты электронной информации.

Защита моделей

С целью обеспечения безопасности и целостности финансовых моделей следует периодически проводить аудит информационных систем для подтверждения достоверности автоматических процедур, алгоритмов и методов, реализованных в виде программных приложений.

Принцип № 87. Резервирование, восстановление данных и планирование на случай непредвиденных обстоятельств

Техническая организация ИТ должна предусматривать адекватные процедуры по резервированию и восстановлению информации, гарантирующие, что фирма может успешно справляться со сбоями или отказами оборудования, программного обеспечения или телекоммуникаций на приемлемом уровне. В компании должен присутствовать актуальный план на случай возникновения непредвиденных обстоятельств.

План действий на случай возникновения чрезвычайных ситуаций

Процедуры восстановления информационных систем должны быть заранее разработаны и протестированы на случай технических сбоев. Работоспособность системы должна быть восстановлена в кратчайшие сроки либо на другой рабочей станции, либо в другом здании. С этой целью используются резервные копии баз данных и резервное оборудование.

Предотвращение возможных технологических сбоев

Некоторые технологические сбои должны быть изначально предусмотрены и предотвращены для обеспечения непрерывного функционирования всей системы.

Резервное копирование

Резервное копирование всей информации о деятельности компании должно проводиться, по крайней мере ежедневно, на внешний носитель, который должен храниться в надежном месте. Желательно стремиться к копированию актуальной информации на резервный носитель в режиме реального времени.

Технические ресурсы

Необходимые технические ресурсы должны быть в наличии для круглосуточного поддержания информационной системы независимо от возникающих сбоев.

Помимо этого руководство компании должно разработать и утвердить документы, регламентирующие все вышеописанные процедуры и требования к ИС.