Проектирование информационной системы управления рисками в банковском бизнесе

1. Введено понятие «информационный риск», который определен, как вероятность возникновения ущерба от использования современных компьютерных информационных технологий при совершении банковских операций.
2. Сделан вывод о том, что увеличение вероятности возникновения информационного риска в кредитных организациях является следствием развития и распространения БИС на всех участках работ банка.
3. Обосновано выделение банковской операции как составной части БИС, ее представление в форме технологического процесса и декомпозиция информационного риска на основе его составляющих. В результате декомпозиции получены пять рисков, составляющих информационный риск: технический, программный, исполнительский, технологический и риск информации. Предложен альтернативный вариант декомпозиции информационног ...

ВВЕДЕНИЕ 3
ГЛАВА 1. ИНФОРМАЦИОННЫЙ РИСК И ЕГО ВЛИЯНИЕ НА ДЕЯТЕЛЬНОСТЬ КРЕДИТНОЙ ОРГАНИЗАЦИИ 9
1.1.Управление рисками как одна из центральных задач финансового менеджмента в банке 9
1.2. Анализ классификаций банковских рисков 14
1.3. Информационный риск в современном банковском деле 22
ГЛАВА 2. РАЗРАБОТКА МЕТОДА ОЦЕНКИ И УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМ РИСКОМ 31
2.1.Исследование информационного риска 31
2.2.Анализ и выбор метода оценки и управления информационным риском 37
ЗАКЛЮЧЕНИЕ 57
СПИСОК ЛИТЕРАТУРЫ 59

 

Актуальность темы исследования. Глобализация как «неизбежное зло» научно-технического прогресса привнесла в нашу жизнь массу проблем. Наряду с положительными моментами процесс глобализации не только расширил масштабы «старых» рисков, но и привел к их мутации, то есть породил новые риски, заставляющие выстраивать иные формы взаимоотношений банков с клиентами и органами государственного управления. Утверждают даже, что именно глобализация виновна в финансовых кризисах типа кризиса 2008 г. и они приобретают перманентный характер. Последний кризис показал, что теория и практика финансового дела сильно отстают от требований времени. Мы же после указанного кризиса отмечали: «Сейчас много говорят о необходимости формирования принципиально новой научной парадигмы будущего финансового мироустройств а. За всеми [этими] рассуждениями... кроется вывод о крахе системы риск-менеджмента на глобальном, региональном и микроуровнях» [1, с. 43].
Этот вывод подтверждается, в частности, тем фактом, что многие страны, которые оказались способны в период кризиса 2008 г. противостоять экономическому коллапсу, применяли один и тот же довольно примитивный инструмент: элементарное накачивание экономики монетарной «силой» через банковскую систему - что лишь на время отодвигает кризис, ведь такая подпитка экономики деньгами всегда носит инфляционный характер. И не случайно органы государственного управления РФ одновременно создавали условия для изъятия таких средств. Например, в декабре 2010 г. Банк России привлек на депозиты 3193,9 млрд руб. (309 кредитных организаций), в октябре 2011 г. - 2658,3 млрд руб. (284 кредитные организации). Однако соответственно 58,38 и 96,08 % таких депозитов привлекалось лишь на один день. Другой канал изъятия средств - облигации Банка России. На 13 октября 2011 г. задолженность по ним составила 10,243 млрд руб. [2, с. 74, 77].
Нельзя не отметить также обострение проблемы управления деликтными рисками, связанными с преступными посягательствами на собственность (рейдерство, промышленный шпионаж, гринмейл (корпоративный шантаж) и пр.), что дает основания говорить о необходимости формирования особой науки как части риск-менеджмента - деликт-менеджмента [3].
Отставание рисколопии как науки от потребностей времени наложилось на процесс формирования новой экономики, именуемой информационной. На этом фоне изменилась и сущность банков, произошла виртуализация их деятельности, что коренным образом меняет сам процесс финансового посредничества (интермедиации) кредитных организаций и управление вновь появляющимися рисками с ранее неизвестными свойствами [4].
И еще одна критическая стрела в адрес рискологов. Они в подавляющем большинстве не пытаются исследовать внутреннюю сущность риска, ограничиваясь «новой» его дефиницией, включая в определение риска несущественные элементы. Такого рода публикации не имеют практической направленности, что только подтверждает определенную схоластичность дискуссий о сущности риска. Профессор М.В. Романовский, говоря о дискуссионных проблемах финансов, подчеркивал, что теоретики, бесконечно обсуждая вопросы, связанные с понятием финансов, их спецификой и функциями, очень слабо разрабатывают методики их использования [5]. Нечто подобное характерно и для рискологии, которая как наука еще полностью не сложилась.
Действительно, риск - одно из самых страшных явлений в экономике. О его сущности написаны сотни статей и десятки книг. Однако ученые продолжают спорить, предлагая все новые и новые его определения. Не вдаваясь в подробную дискуссию, отметим, что изъян большинства теоретических рассуждений о рисках заключается в отрыве риска от категорий «страх» и «опасность».Между тем, все эти категории взаимосвязаны, более того, они родственны и действуют однопорядково. Именно такой подход положен нами в исследование сущности риска [6].
Имеющиеся трактовки риска грешат серьезным недостатком методологического свойства, ибо не содержат необходимый набор атрибутивных свойств. А, как известно, потеря явлением своего атрибутивного признака, в отличие от признаков случайных, практически всегда означает смену качества данного явления.
Введение в трактовку риска второстепенных, несущественных признаков не позволяет четко определиться с понятиями «неопределенность» и «опасность». Что касается понятия «страх», то оно вообще редко применяется в исследованиях рискологов, разве только в трудах по страхованию.
На современное состояние банковской системы Российской Федерации оказывают влияние две группы факторов. Первая группа связана с экономической и политической ситуацией внутри страны. Ее влияние находит свое отражение в таких актуальных для банковской системы факторах, как - снижение инфляции, либерализация налогового и валютного законодательства, уменьшение числа спекулятивных операций и усиление конкуренции на рынке банковских услуг. Вторую группу определяют изменения, которые претерпевает мировая банковская система. Эти изменения являются следствием глубинных макроэкономических процессов в мировой экономике (интеграция, либерализация, резкий научно-технический подъем) и затрагивают все банки в разных странах мира, независимо от уровня их развития и существующей в той или иной стране организационной структуры банковской системы.
За относительно короткий промежуток времени роль информационных технологий, изначально предназначенных для замены рутинного труда рядовых сотрудников банка, сильно изменилась. Теперь ни одна банковская операция не происходит без участия информационных систем, причем особенности ее проведения напрямую зависят от возможностей используемой системы. Неудивительно, что информационные системы стали оказывать существенное влияние на прибыльность кредитных организаций, их конкурентоспособность и привлекательность для клиентов.
Однако, кроме положительного влияния, оказываемого информационными технологиями на деятельность кредитных организаций, нельзя не отметить и негативные последствия их использования. Так например, информационные системы стали источником серьезных финансовых потерь в случае их отказов. Следствием этих потерь может быть как частичная, так и полная потеря банком возможности выполнять свои функции.
Возросшая зависимость нормальной работы банка от устойчивого функционирования информационных систем привела к появлению принципиально нового для банка вида риска - информационного, который можно определить как вероятность возникновения ущерба от использования современных компьютерных информационных технологий при совершении банковских операций. Новизна данного вида банковского риска заключается в том, что впервые технологии, обеспечивающие проведение банковских операций, стали определять способы предоставления банковских услуг, что в свою очередь привело к зависимости успешного оказания услуг клиентам от бесперебойного функционирования информационных систем.
Нельзя сказать, что риски, связанные с использованием информационных технологий не анализировались банками ранее. Однако анализ методов управления ими показывает, что все они были направлены на защиту информационных систем и хранящейся в них информации от различного вида угроз, чего явно не достаточно для управления информационным риском.
Атуальность рассматриваемой темы заключается в необходимости разработки новых методов управления информационным риском, основанных на положении о том, что информационные системы являются источниками угроз для деятельности кредитных организаций. Это позволило бы оценить убытки, которые могут понести банки от информационного риска и разработать методы для управления им.
Объектом исследования явились информационные системы, используемые кредитными организациями.
Предметом исследования являлся процесс управления информационным риском.
Целью работы является разработка метода оценки и управления информационным риском в банковской системе.
Задачами работы являются:
• исследовать влияние банковских рисков, и, в частности, риска, возникающего при использовании информационных систем, на деятельность кредитных организаций;
• обосновать важность контроля за риском, возникающим при использовании информационных систем;
• сформулировать понятие информационного риска;
• построить дерево информационного риска на основе предложенных принципов декомпозиции и принципов построения дерева целей;
• обосновать использование метода обратных вычислений для решения задачи по управлению информационным риском;
В процессе выполнения курсовой работы были применены следующие методы: компонентный и К-ступенчатый ситуационный анализ; метод обратных вычислений; методы теории вероятности и математической статистики.
Для реализации поставленных в данной работе целей и задач по ходу выполнения этапов анализа объекта исследования будут проведены следующие виды работ:
• - в первой главе будут рассмотрено и обоснованна важность контроля за риском, возникающим при использовании информационных систем;сформулированно понятие информационного риска;
• - во второй главе будет построенно дерево информационного риска на основе предложенных принципов декомпозиции и принципов построения дерева целей; обоснован использование метода обратных вычислений для решения задачи по управлению информационным риском;
- в заключении будут подведены итоги по результатам выполненной работы, проанализирован уровень достижения поставленной цели и сделаны выводы по предложенным рекомендациям.  

Не случайно В.И. Даль разъясняет: «Страх... боязнь, сильное опасенье, тревожное состоянье души от испуга, от грозящего или воображаемого бедствия» [9]. Вполне объяснимые и естественные попытки классификации страха приводят к появлению новой, более конкретной категории, которую называют опасностью.Рыночные опасности, в отличие от страхов, быстрее и легче структурируются. Перечень опасностей неисчислим, но их существенную часть предприниматель может проигнорировать, а наиболее реальных успешно избежать (методами диверсификации, страхования и т.д.). Отчетливая, осязаемая опасность принимает форму угрозы. Например, в основном нормативно-правовом акте, регулирующем вопросы безопасности в нашей стране (Концепция национальной безопасности Российской Федерации: утв. Указом Президента РФ от 17 декабря 1997 г. № 1300, в ред. от 10 января 2000 г. № 24), проблема терроризма названа именно угрозой.Огромные человеческие жертвы от терроризма, который уже давно приобрел транснациональный характер, дают основания говорить не о потенциальной, а о реальной опасности, то есть об угрозе, имеющей прямое отношение к экономической безопасности бизнеса.Рамки статьи не позволяют нам классифицировать опасности и их крайнее проявление - угрозы. Такая задача изначально не ставилась, ибо научных исследований по данному поводу вполне достаточно. Но подчеркнем, что очень важно корректно идентифицировать объекты опасностей, разделить их на страты, одни из которых должны регулироваться государством (вплоть до введения режима постоянного государственного надзора, без боязни возникновения избыточных административных барьеров), другие подлежат разрешению самими предпринимателями и другими акторами рынка.Опасности подвержены постоянным мутациям, видоизменениям. Какие-то из них спорадически выходят на первый план, другие теряют свое значение. Вспомним: начало становления рыночной экономики в России характеризовалось разгулом рэкета, от которого особенно страдали частные предприниматели; сегодня на первый план выходят более утонченные и изощренные формы опасности (например, связанные с компьютерными преступлениями, экономическим шпионажем и иными формами, которые особенно актуальны для банковской сферы).Продолжая рассуждать о сущности риска, заметим, что ставшее почти классическим определение экономического риска как вероятности потерь от каких-либо действий (бездействий) субъекта хозяйствования лишь ненамного приоткрывает завесу над его сущностью. Слово «вероятность» (или «возможность») предполагает действия по расчету вероятностной величины риска. Это первое обстоятельство, позволяющее увидеть, как опасность превращается в риск, пребывая при том «внутри» риска. С такой позиции риск есть некая расчетная величина опасности, рассматриваемая во времени, то есть в динамике. До предела упрощая диалектику взаимозависимости названных понятий, скажем, что опасность есть качественная составляющая риска, а риск - ее количественная мера.Наш подход позволяет сделать промежуточный вывод: если опасность не имеет количественной меры, то риск как явление отсутствует; он не переходит из категории опасности в свою новую, более развитую форму, именно в которой только и может существовать риск.Попутно отметим, что расчет только вероятности риска сегодня совершенно недостаточен. Его фактическую величину мы выражаем также массой риска (massa-at-risk - MaR) [1]. Причем расчет массы риска применим и в тех случаях, когда вероятность с приемлемой точностью определить невозможно. В рамках активно развивающейся науки - эконофизики - вполне возможны и другие «физические» параметры риска (плотность, температура, скорость и пр.). Впрочем, исследований на эту тему пока не имеется.Итак, в концепт понятия «риск» консолидированно входят: а) страх; б) опасность и ее идентификация; в) расчет вероятности и массы риска; г) методы управления этим риском, то есть механизм защиты от него. Поэтому без категории «опасность» и ее аморфной формы «страх» рассматривать дефиницию «риск» с научной точки зрения бессмысленно. Риск, в нашем понимании, есть логическая конъюнкция* величины опасности (вероятности, массы и иных параметров) и сама эта опасность.С развитием информационной экономики, как мы уже отметили, банки постепенно эволюционируют, меняется их интермедиационная сущность, возникают новые риски.Рыночная асимметрия информации наряду с трансакционными затратами выступает в роли «дефектов микроструктуры» взаимодействия кредитных организаций с внешней средой, приводящих к неоптимальному размещению финансовых ресурсов. Экономика информации - интенсивно развивающаяся сфера человеческой деятельности. Достаточно сказать, что Нобелевская премия 1996 г. по экономике была присуждена У. Викри (William Spencer Vickrey) и Дж. Миррлису (James Alexander Mirrless) «за фундаментальный вклад в развитие теории поведения экономических агентов в условиях асимметричной информации». Указанная асимметрия в современных условиях порождает и особый вид интермедиации - информационное посредничество, и особые виды рынков (например, информационный рынок, а также один из важнейших его секторов - информационно-кредитный рынок) [10; 11].Мы поддерживаем тех ученых, которые объясняют необходимость расширения рамок теории финансового менеджмента необходимостью исследования движения не просто денежных (финансовых), но и информационно-денежных (финансовых) потоков [4]. Уверенно можно говорить о целесообразности формирования принципиально новой концепции финансовой интермедиации, объединяющей трансакционный и информационный подходы, учитывающей классическую интерпретацию процесса посредничества и новые реалии движения капитала с адекватными ей методами и способами управления информационно-денежными потоками.Еще сравнительно недавно применительно к банкам о виртуальной экономике говорили как о второстепенном факторе - неком подобии, частичном отражении реальной экономики. Но с учетом процессов глобализации и развития информационно-телекоммуникационных систем вполне очевидно, что виртуальная экономика начинает играть в денежно-кредитной сфере доминирующую роль.Уже далеко не достаточно исследовать банк в качестве финансового посредника, способствующего переливу финансовых ресурсов из одной сферы экономики в другие (а здесь происходит синхронная интермедиация финансовых ресурсов, их ликвидности, рисков и их массы и вероятности). Сегодня нельзя не учитывать фактор интермедиации информации. Безусловно, речь идет прежде всего об изменении сущностной характеристики банков, а не об оказании кредитными организациями информационных услуг, перечень которых имеет тенденцию к расширению.Публикаций по банковской интермедиации информации практически нет, и здесь мы лишь в самом общем виде ставим задачу решения этой проблемы [12]. Однако совершенно ясно, что управление рисками, возникающими в процессе трансформации и интермедиации информационных потоков в банке, лежит в плоскости эконофизики - экономической физики [13; 14]. Более того, мы утверждаем, что существует настоятельная потребность в формировании особой ветви науки, которая будет дополнять эконофизику, - информационной физики, инфофизики. Только в рамках этих двух наук возможны продуктивные исследования по формированию методов управления информационными рисками в банках, действующих в качестве финансовых посредников.Любые финансовые потоки сопровождаются интенсивным движением информации. Каждый финансовый поток содержит в себе и риск-поток, следовательно, риск-поток неотделим и от информации. Все это порождает трансформацию посреднических функций банков. Например, вкладчики, доверяя финансовому посреднику свои финансовые ресурсы, по сути, делегируют ему задачу мониторинга заемщиков, что и порождает у банка роль посредника информационного. Со временем банки, вся банковская система становится коалицией информационных посредников, а информационный риск - одним из основных видов риска, сопровождающих эту деятельность. Следовательно, к информационному риску необходимо относиться ровно так же, как к любому другому виду риска.Информационные риски, хоть они и обладают безусловной спецификой, полностью подпадают под наше определение рисков: это одновременно и сама опасность возникновения информационного риска, и физическая мера данной опасности (конъюнкция).Выводы по главе 1.В первой главе работы:1.Задача достижения приемлемого соотношения значений показателей риска и прибыли является одной из ключевых проблем экономической деятельности в целом, и управления производством и финансами, в частности. Специфика оказания банковских услуг требует особого внимания контролю за рисками. 2.Задача управления банковскими рисками определена как одна из центральных задач финансового менеджмента коммерческого банка. Современные тенденции развития мировой банковской системы приводят к изменению взглядов на проблему банковских рисков. В их число стали включать риски, связанные с информационными технологиями, обеспечивающими выполнение банковских операций. 3.Банковское дело на современном этапе характеризуется использованием информационных технологий при совершении любых банковских операций и, следовательно, их влиянием на конкурентоспособность и прибыльность кредитной организации. ГЛАВА 2. РАЗРАБОТКА МЕТОДА ОЦЕНКИ И УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМ РИСКОМ2.1.Исследование информационного рискаГражданско-правовые отношения осуществляются на современном законодательно обусловленном уровне с использованием сферы телекоммуникаций.Исходя из особенностейисследования,приоритетно изучение ролителекоммуникаций в минимизации банковских рисков[1].В банке и иной кредитной организации, по мнению Д. А. Пашковского риски в телекоммуникационных и информационных системах являются одной из основных категорий рисков, им посвящено 25 диссертаций исходя из данных РГБ от 21.10.13.Мы способны им управлять риском и поддерживать правоведа практика в его повседневной деятельности, банковский риск имеет связь с телекоммуникационной средой и относятся к сфере гражданско-правовых отношений [2].Риск является абстрактным понятием, описывающим возможности возникновения нестандартной ситуации.Мы можем отнести банковский риск к разновидности законодательных рисков, появилась возможность провести множество исследований, возникнет целый пласт научного направления в области правовой науки.Соблюдение прав собственника это важный этап в развитии правоотношений и правового сознания граждан, в случае нарушения этих прав требуется возместить убытки и использовать для этого преимущества информационно-телекоммуникационные технологии (далее ИКТ).Риск быть привлеченным к ответственности или стать жертвой неофициальных отношений свойственен юридической практике, велик для физического лица обремененного обязательством.Минимизация рисков и создание правового регулирования возможны в условиях непрерывного общественного развития.Граждане должны стремиться к развитию правового сознания во избежание проявления правового нигилизма, повышения технологической грамотности, поддержания процессов правовой модернизации, законодательной инициативы и способности к самоопределению, это сократит уровень экономических, социальных потерь и понизит банковский риск [3].В юридической науке существует серьезный пробел знаний в классической и пост классической правовой теории.Ограниченный список теоретического материала свидетельствует о слабой разработанности проблемы законодательных рисков юристами в России.Профессионал в области гражданского права находится в приоритете на рынке труда в случае полноценного применения им основ практики и теории банковского права.Применяя свою юридическую образовательную базу, он сможет не только полноценно воспользоваться законодательством, но и предугадать рост стоимости активов и понизить уровень банковского риска.Риски начали интенсивно развиваться в период массового распространения ИКТ и увеличения числа пользователей телекоммуникационных сетей.Телекоммуникационные системы распространяют информацию о ЖКХ технологических инновациях, образовании и здравоохранении, повышается опасность возникновения риска в деятельности физических и юридических лиц в период неформальных отношений, не поддающихся правовому регулированию [4,37].Согласно мнению Н. Г. Апресова риски подразделяются на инвестиционные, рыночные, коммерческие, производственные и финансовые.Каждая из разновидностей рисков имеет отношение к среде телекоммуникационных услуг [5].Это происходит из-за обязанности соблюдения условий запланированных взаимоотношений в случае требуемого применения активов и использования финансового состояния.Согласно мнению Н. Г. Апресова большинство разновидностей рисков, за исключением банкротства и потребительского недовольства находятся в приоритете в случае:осуществления правоотношений в телекоммуникационных сетях;заключения сделки;распространения по телекоммуникационным системам не общедоступной информации.Телекоммуникационные услуги занимают существенное положение на рынке, обострение банковских рисков усложняет ситуацию с их развитием.В условиях финансовой нестабильности и повышенной неопределенности, мы не можем полноценно оценить реальные возможности используемых во благо развития телекоммуникационных систем.Дискуссионным является вопрос эффективности влияния ИКТ на снижение банковских рисков, объективный подход говорит о требовании их минимизации.Риски возникающие на макроуровне, можно минимизировать на микроуровне при помощи анализа нескольких подобных друг другу дел судебной практики.В отличие от судебной практики затрагивающей традиционную сферу юридической науки, практику использованием субъектами ИКТ найти сложнее, ввиду новизны темы исследования.В случае гражданско-правового разбирательства в суде, наличие данных в программе Word или XL, позволит минимизировать риск утери необходимого для разрешения спора документа и сократит расходы.Однако практика показывает, в гражданском законодательстве существуют недостатки, физическое лицо с участием нотариуса и дальнейшей процедуры судебного разбирательства, может быть подвергнуто взысканию и рискует потерпеть поражение.Большинство исследователей берет за основу не выявление самого риска, а констатируют факт его существования в случае возникновения рискованной ситуации.Сбой ПО служит последствием отказа работы телекоммуникационных систем, это препятствие в осуществлении профессиональной деятельности субъекта права, организуемой с помощью ИКТ.Многие авторы заинтересованы решением проблемы гражданско-правовых рисков, однако цивилисты должны проводить исследование на пост классическом уровне принимая во внимание необходимость безопасного использования ИКТ для минимизации рисков в деятельности финансово-кредитных учреждений.В настоящее время нет возможности дать общее определение сложной системы, обладающее достаточной четкостью с точки зрения построения строгой теории.Очевидно, что выполнению любой операции в БИС предшествует определенный набор действий, таких как ввод информации, контроль, переходы между состояниями и т.д. На каждом этапе задействованы различные исполнители, программные и технические средства. Следовательно, можно сказать о том, что процесс выполнения любой операции можно представить как технологию решения задачи, состоящую из нескольких этапов.Таким образом, считая, что любая банковская операция представляет собой технологию и состоит из ряда элементов, можно провести декомпозицию информационного риска по независимым элементам. Выделим следующие виды рисков:технический риск - вероятность возникновения информационного риска из-за сбоя техники. Декомпозиция этого вида риска осуществляется в соответствии с используемым парком технических средств:риск выхода из строя серверов;риск сбоя в сети;риск поломки рабочих станций;риск сбоя во внешних коммуникациях;программный риск - вероятность возникновения информационного риска из-за ошибки в программном обеспечении Его можно разделить на следующие составляющие:риск появления ошибки в банковском ПО;риск появления ошибки в сетевых операционных системах;риск появления ошибки в операционных системах рабочих станций;риск появления ошибки в СУБД;риск информации - вероятность возникновения информационного риска из-за ошибок во введенной информации. Разделяется на следующие виды риска:риск неполноты информации - вероятность возникновения ситуации, когда имеющейся информации не достаточно для проведения операции. Например, в электронном макете не указан лицевой счет;семантический риск - вероятность допустить ошибку содержательного характера. Например, указать неверный номер лицевого счета;синтаксический риск - вероятность указания неверных символов или ошибок в словах, которые могут помешать своевременному выполнению операции. Например, в электронные макеты обмена нельзя включать ряд символов, которые могут встречаться в примечаниях платежных документов;риск исполнителя - вероятность возникновения информационного риска из-за ошибочных действий пользователя. Разделяется на следующие виды:несвоевременное действие пользователя;ошибочное действие пользователя;риск действий злоумышленника;технологический риск - вероятность возникновения информационного риска по причине того, что правила и принятые методы совершения операции, не позволят провести ее в срок и надлежащим образом. Риск может быть разделен на следующие составляющие:риск рассматриваемой технологии — вероятность возникновения рисковой ситуации из-за технологии совершения операции, анализируемой в настоящий момент. На данный риск можно повлиять, внеся изменения в технологию;риск параллельно действующих технологий - вероятность возникновения рисковой ситуации из-за технологий, на которые нельзя повлиять при решении текущей задачи;риск изменений внешней среды - риск изменения во внешней по отношению к банку среде, которая потребует изменения всех технологий.Таким образом, декомпозицию информационного риска можно изобразить в виде графа, где каждой вершиной будет определенный вид риска приведенный в классификации. Дерево рисков, составляющих информационный риск приведено на рис. 2.Рис. 2. Дерево рисков, составляющих информационный рискУ приведенного варианта декомпозиции есть недостаток - он не дает возможность определения ответственного за управление каждым видом риска. В качестве альтернативного варианта декомпозиции предлагается разделить риск по центрам ответственности (например, на технический и программный). При этом следует отметить, что обычно существует несколько способов уменьшения риска, причем разных по виду, например, доработка программного обеспечения или повышение квалификации пользователей. Следовательно, такие виды риска, как риск исполнителя и риск информации не будут нивелированы. Они найдут свое отражение при определении причин возникновения рисковых ситуаций.2.2.Анализ и выбор метода оценки и управления информационным рискомПроблема выбора метода оценки и управления рисками хорошо известна и занимает центральное место в практике банковского менеджмента. Однако появление в последнее время принципиально нового вида банковского риска, возникающего при использовании информационных систем, поставило задачу разработки методов его управления на первый план.В настоящее время наибольшее распространение получили методы, связанные с безопасностью, как самих информационных систем, так и хранящейся в них информации.Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз и уязвимостей, а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценке рисков учитываются такие факторы как: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое. [7]К существующим методам, связанным с анализом информационного риска можно отнести метод, предназначенный для оценки возможных потерь от несанкционированного доступа и разрушения банковской информация на основе аддитивной модели.