Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Управление рисками

1. Информация о проекте

риск потенциальный снижение электронный

Компания «Тензор» работает в 81 регионе России:

Филиальная сеть - в 65 регионах

Партнерская сеть - в 80 регионах, число партнеров более 300 по РФ

Число сотрудников - 2000 человек

«Тензор» входит в тройку компаний, лидирующих на российском рынке электронного документооборота. Нам доверили сдачу своих отчетов более 600 000 абонентов.

Компания «Тензор» представляет комплексные решения для автоматизации производственных процессов. Успешный опыт и значительное число собственных разработок в области IT-услуг, электронного документооборота и телекоммуникаций позволяют внедрять комплексы автоматизации для малого бизнеса и крупных предприятий.

Мы являемся разработчиками программного обеспечения:

СБиС++ Предприятие

СБиС++ Электронная отчетность

СБиС++ Электронный документооборот

Разработанный нами программный комплекс «СБиС++ Электронная отчетность» позволяет организовывать электронный защищенный и юридически значимый документооборот с различными контролирующими органами:

Федеральной налоговой службой;

Пенсионным фондом Российской Федерации;

Федеральной службой государственной статистики;

Фондом социального страхования;

Ростехнадзором.

В июле 2011 г. холдинг «Тензор» отметил свое 15-летие. К этому времени число филиалов компании достигло 65, а число пользователей системы «СБиС++ Электронная отчетность» - более 600 000.

В мае 2011 года в Ярославле прошла третья конференция «СБиС++ Наши плюсы для партнеров», на которой была представлена программа СБиС версии 2.4 с принципиально новой технологией электронного документооборота. Участие в конференции приняли более 180 представителей филиальных и партнерских организаций. К 2011 году по всей России насчитывается уже более 60 филиалов компании «Тензор» и более полумиллиона абонентов системы СБиС.

Сегодня «Тензор» - это почти 2000 специалистов высочайшего уровня, занятых в разработке, поддержке и продвижении новых решений в сфере IT. Сделав в свое время ставку на развитие информационных технологий, компания «Тензор» и по сей день идет в ногу со временем, а программные продукты линейки СБиС++ уже сейчас стали синонимом оптимального решения для все возрастающих потребностей современного бизнеса.

По результатам исследования журнала «Forbes» автоматизация отчетности на базе СБиС++ вошла в пятерку удачных стартапов: вложения для создания бизнеса с нуля - минимальны, а условия контракта с «Тензором» - благоприятны для партнеров. Вложенные средства окупаются уже за полгода.

2. Выявление потенциальных рисков

Электронный документ получает все большее развитие на различных сегментах финансовых рынков. Системы электронного документооборота, помимо тех преимуществ, которые они обеспечивают как профессиональным участникам рынка ценных бумаг, банкам, так и их клиентам, содержат определенные риски.

В последнее время электронный документооборот получает весьма активное развитие в различных отраслях российской экономики, в том числе и на финансовых рынках, и последние изменения на фондовом рынке, в частности принятие ряда локальных нормативных документов, позволили более активно применять электронный документооборот в работе участников фондового рынка. ЭДО используется в обмене документами между компаниями и их клиентами и контрагентами, как в сфере оказания брокерских услуг, доверительного управления, так и учетной системе.

ЭДО, как и все новое, приносит, кроме удобства и оперативности, свои проблемы и риски. И для участников ЭДО не последнюю роль играют еще не решенные вопросы об отсутствии единых форматов ЭДО, должной судебной практики, ясного единого понимания ситуации с развитием ЭДО в России, что, несомненно, порождает риски потенциальных убытков и возможные правовые споры и разбирательства.

Вообще риски электронного документооборота можно отнести по большей части к операционным рискам компании. Источниками риска являются в первую очередь персонал и системы, во вторую - процессы и внешние события. Страхование позволяет переложить возможные убытки на плечи страховщика. Наиболее вероятные риски для профессиональных участников фондового рынка были индицированы на основе международной и российской практики.

В качестве примера характерных рисков участника ЭДО можно выделить:

1. Непреднамеренные действия (ошибки, упущения, небрежность)

2. Умышленные противоправные действия (бездействие) работников, связанные с использованием поддельных (изготовленных в мошеннических целях дубликатов) или скомпрометированных ключей ЭЦП, а также действия с целью уничтожения, копирования, изменения (искажения) данных, содержащихся в электронном документе; действия, выразившиеся в нарушении зарегистрированным участником по его вине тайны закрытого ключа ЭЦП и / или в использовании зарегистрированным участником для электронной цифровой подписи открытых или закрытых ключей ЭЦП при наличии у него сведений (информации), что ключи используются или использовались ранее в электронном документообороте.

3. Утрата, искажение, модификация электронного документа и / или архива в результате ненадлежащего функционирования (сбои, отказы, нарушения в работе) СКЗИ и иного аппаратно-программного обеспечения, используемого при осуществлении электронного документооборота.

4. Умышленные противоправные действия (бездействие) лиц (включая лиц, участвующих в электронном документообороте), связанные с использованием поддельных (изготовленных в мошеннических целях дубликатов) или скомпрометированных ключей ЭЦП, а также действия с целью уничтожения, копирования, изменения (искажения) данных, содержащихся в электронном документе.

Безусловно, применение электронного документооборота ускоряет процессы обмена, при этом снижаются текущие операционные затраты, частично уходят некоторые риски, например подделки подписей и печатей на бумажных носителях. Однако на данном этапе еще нет полной замены электронным документооборотом бумажного, в действующей правовой системе способы документооборота происходят скорее параллельно, и поэтому пока можно говорить лишь о том, что компании, применяющие ЭДО, не только получают экономические выгоды и преимущества во времени, но и имеют дополнительные риски, которыми необходимо эффективно управлять.

В качестве метода выявления потенциальных рисков в данной работе используется метод структурных диаграмм.

Проведем анкетирование управленческого персонала по вопросам потенциальных рисков, которые могут возникнуть в ближайший период.

Опросный лист для выявления рисков на предприятии

Данный опрос выявить информацию о наличии следующих рисков для предприятия: ужесточение борьбы с конкурентами на целевых рынках и появление новых потенциальных конкурентов, угроза со стороны поставщиков (несоблюдение условий договорных отнашений, а также опережающий рост цен на электроэнергию), угроза со стороны потребителей (изменение потребительских предпочтений в отношении используемых услуг связи)

3. Разработка плана мероприятий по снижению рисков

Снижение (вероятности или ущерба)

§ Технические меры

§ Организационные меры

§ Диверсификация

§ Реорганизация бизнес-процессов

Передача рисков

§ Страхование

§ Хеджирование

§ Совместные предприятия или стратегические союзы

§ Аутсорсинг

Избежание рисков

§ Продажа активов

§ Отказ от проведения сделок

Принятие рисков

§ Лимитирование

§ Финансовые резервы

При выборе возможных мероприятий по регулированию рисков учитываются следующие критерии:

§ степень снижения уровня риска (вероятности или ущерба)

§ стоимость и длительность реализации

§ соответствие стратегическим планам развития Компании

§ соответствие принятым в Компании политикам и регламентам в области управления рисками

Разработка и реализация мероприятий по регулированию рисков осуществляется ответственными подразделениями Компании в соответствии с действующими корпоративными политиками, правилами и процедурами.

КЛЮЧИ К УСПЕХУ:

§ Руководство Компании понимает и принимает активное участие в процессе становления и развития КСУР, не ограничиваясь услугами внешних консультантов

§ Разработана, согласована и утверждена политика, стандарты и методология КСУР

§ Корпоративная миссия, бизнес-стратегия, бизнес-планы интегрированы в процессы КСУР

§ Процессы выявления, оценки, разработки и реализации методов регулирования рисков не слишком сложные

§ Обучение и обмен оперативной информацией - составные части процессов КСУР

§ Проекты КСУР не ограничены рамками проведения аудита и функциями внутреннего контроля

§ Риск-отчет не сосредоточен на технических проблемах и расчетах, и включает события вне нашего контроля

§ Результаты выявления и оценки рисков имеют обратную связь с финансовыми, операционными и стратегическими планами Компании

§ В процессе внедрения учитываются рекомендации COSO

Развитие системы корпоративного риск - менеджмента предусматривает активное участие подразделений и сотрудников Компании в процессе выявления и оценки рисков, постоянное расширение области исследования и совершенствование методов оценки потенциальных опасностей, систематическое использование информации о рисках при принятии управленческих решений на всех уровнях управления Компании

4. Программа страхования рисков

С каждым годом увеличивается число российских компаний, имеющих свою корпоративную сеть. В результате руководители все чаще сталкиваются с проблемой сохранения как корпоративных, так и личных конфиденциальных данных.

О важности защиты информации, содержащейся в электронных устройствах, говорит хотя бы тот факт, что известный компьютерный вирус I Love You повредил около 70 млн. компьютеров по всему миру, нанеся ущерб более чем в 10 млрд. долл. В настоящее время насчитывается от 30 до 50 тыс. всевозможных вирусов, и их количество постоянно растет1.

Ведущие мировые страховые компании уже начали активно развивать это направление. Одна из наиболее известных программ в данной области - Net Secure, предлагаемая страховым брокером Marsh Inc. Полис предусматривает возмещение потерь, вызванных сбоями в работе сети и недос-тупностью сайта страхователя; максимальное страховое покрытие составляет 200 млн. долл.

Существует и полис Lloyd's, по условиям которого страхователь, установивший средства информационной безопасности от разработчика, заранее оговоренного со страховой компанией (в настоящее время это Counterpane Security Inc.), получает страховые гарантии по возмещению ущерба, причиненного атаками хакеров. При страховом взносе в 20 тыс. долл. страхователь в течение года может рассчитывать на страховое возмещение в размере до 1 млн. долл., а при взносе в 75 тыс. долл. - до 10 млн. долл.

По мнению экспертов, механическая и программная защита информации и баз данных имеет определенный верхний предел, обусловленный свойствами установленного оборудования и спецификой применяемых технологий. Поэтому естественным дополнением к техническим способам защиты могут стать программы страхования «информационных рисков».

В российской практике появилось несколько страховых продуктов, аналогичных западным образцам. Один из них построен в соответствии с западной программой Computer Crime и защищает от электронных и компьютерных преступлений. Страховой продукт, аналог Net Secure, обеспечивает возмещение ущерба в случае несанкционированного доступа к содержимому сайта и кражи данных, гибели электронного оборудования, внесения вирусов, нелояльности персонала, нарушения конфиденциальности данных.

Наиболее развитый сегмент этого рынка - страхование от электронных и компьютерных преступлений, которое предусматривает возмещение убытков, понесенных вследствие:

несанкционированного ввода данных или их изменения;

введения в компьютерную систему мошеннически подготовленных или модифицированных команд;

повреждения, уничтожения или перехвата информации;

блокирования доступа к данным и к Web-сайту;

воздействия компьютерных вирусов.

Объектом страхования в данном случае являются имущест-венные интересы, связанные с владением, пользованием и распоряжением информацией, находящейся на электронных носителях.

В российской практике данный страховой продукт наиболее часто выступает как сопутствующий в пакете комплексного страхования банков (ВВВ), хотя появляются и аналогичные продукты, рассчитанные на иные организации. Отличительная особенность этого вида страхования - возможность застраховать риски только самого страхователя и только в его пользу, т.е. в страховании от компьютерных и электронных преступлений неприменимы понятия «застрахованное лицо» и «выгодоприобретатель».

Компания «Ингосстрах» предлагает специальную программу страхования информационных рисков, рассчитанную на широкий круг предприятий, активно использующих в своей деятельности информационные технологии для обработки, хранения и передачи информации. Здесь в качестве объекта страхования выступают информационные ресурсы (базы данных, библиотеки, архивы в электронном виде на технических носителях, программные средства и комплексы) и финансовые активы (денежные средства в виде электронных записей на счетах, ценные бумаги в электронном виде). При этом в подходах к определению страховой суммы часто могут возникать разногласия. Например, для баз с бухгалтерской информацией за основу берется восстановительная стоимость базы данных, т.е. сумма предполагаемых затрат по воссозданию бухгалтерских документов с привлечением аудиторской фирмы.

Если возникли проблемы с «электронными продажами», то речь идет о методе определения страховой суммы, применяемом при страховании от перерывов в производстве. При этом необходимо особенно внимательно подойти к выбору страховщика и к анализу предлагаемой программы страхования. В обычной практике страхования от перерывов в производстве страховым случаем признается перерыв длительностью не менее 2-х рабочих дней. Однако для электронной коммерции такой срок уже критичен. Следовательно, при страховании от перерывов в деятельности компаний онлайновой торговли следует признавать страховым случаем перерыв уже в 1-2 ч. Кроме того, страховая компания в целях заинтересованного участия страхователя в управлении рисками скорее всего в обязательном порядке установит безусловную франшизу.

Непременное условие заключения договора страхования от электронных и компьютерных преступлений - изучение страховщиком системы информационной безопасности клиента.

У многих потенциальных страхователей в связи с этим возникают опасения относительно возможного разглашения страховщиком сведений, ставших ему известными в ходе проверки и составляющих коммерческую тайну. Хотя со стороны страховщика это нарушение закона - никто не отменял ст. 946 ГК РФ «Тайна страхования». Высказываются и опасения в отношении случайного и непреднамеренного разглашения страховщиком сведений при работе с конкурентами страхователя, а также происков промышленных шпионов.

Исследование информационных систем - достаточно сложная процедура, требующая специализированных знаний и навыков. Но для многих российских страховых компаний держать в штате работников, компетентных в области IT-решений и способных грамотно оценить риски, слишком дорого. Поэтому в большинстве случаев при проведении предстраховой экспертизы прибегают к услугам независимой структуры - сюрвейера, который в силу своей специализации заинтересован в наиболее полном анализе того типа рисков, которые предполагается покрыть страховыми гарантиями.

Надежность сюрвеера для страхователя обеспечивается тем, что в случае разглашения данных сюрвеер за один день может лишиться столь ценного актива как аккредитация и доверие крупнейших страховых и перестраховочных обществ. Кроме того, использование услуг сюрвейера помогает решить объективный конфликт интересов страховщика и страхователя: первый желает за большие деньги принять минимум риска, второй - передать максимум риска за небольшие деньги.

По результатам заключения сюрвейера страховщик рекомендует ряд превентивных мероприятий, направленных на совершенствование системы информационной безопасности потенциального страхователя. В этом заинтересованы обе стороны страхового договора.

Известен случай, когда страховалась информация, при этом страховая выплата определялась стоимостью восстановления утраченного информационного массива, но не могла превысить заранее оговоренную страховую сумму. Однако превентивные мероприятия договором страхования предусмотрены не были. В результате неблагоприятных событий информация оказалась полностью утрачена. При этом стоимость ее полного восстановления в несколько раз превысила страховую сумму, которая была выплачена страхователю. Если бы еще на стадии заключения договора страхования клиенту предложили внедрить систему резервного копирования, ущерб оказался бы значительно меньше. В итоге проиграли обе стороны: страхователю пришлось самостоятельно компенсировать разницу между реальным ущербом и выплаченной страховой суммой, а страховщик мог бы расстаться с меньшими деньгами.

Страховая компания вправе потребовать проведения превентивных мероприятий до заключения договора или в течение определенного срока, указанного в нем. Невыполнение клиентом каких-либо указаний обычно влечет за собой досрочное прекращение действия договора. Например, предприятиям электронной коммерции могут быть предложены следующие средства защиты: резервное копирование информации, использование антивирусных программ, технологий шифрования (в т. ч. кодирования) данных, систем аутентификации (введение электронной цифровой подписи для проверки авторства и подлинности документа), межсетевых экранов (брандмауэров); фильтрация трафика, поступающего в сеть или на сервер, и т.д.

Размещено на Allbest.ru