Следует оговориться сразу, что устоявшейся терминологии по части понятия "бизнес-модель" в настоящее время не существует, поэтому мы предлагаем отталкиваться от следующего, достаточно общего и совпадающего по смыслу с нашими представлениями определения [26]:
Бизнес-модель - это модель бизнеса в отношении процесса, данных, событий или планируемых ресурсов в прошлом, настоящем или будущем.
Детализируем данное определение применительно к понятию Бизнес-модели банка. С этой целью выделим основные элементы (понятия), составляющие содержание банковского бизнеса. Таковыми в первую очередь являются клиенты, продукты (услуги), каналы доставки продуктов клиентам. Как и любой другой, банковский бизнес нуждается в управлении, обеспечении и обслуживании.
Применительно к ОАО КБ «СОЦГОРБАНК» приведенное выше определение понятия "бизнес-модель" теперь можем представить следующим образом. Бизнес-модель банка представляет собой сложный информационный объект - систему, основными элементами которой являются:
Модель бизнес-деятельности;
Модель управления бизнесом;
Модель обеспечения бизнеса;
Модель обслуживания.
Каждый из указанных элементов, в свою очередь, также является информационной системой, состоящей из соответствующих объектов. Взаимосвязи между элементами и объектами являются стационарными, т.е. характеризующими факт наличия взаимодействия, но не характер его действия во времени. Изменение любых отношений между элементами (включая добавление новых объектов и/или связей между ними) приводит к формированию новой Бизнес-модели.
Таким образом, Бизнес-модель банка определяет основные понятия и объекты, составляющие содержание банковского бизнеса, а также отношения (взаимосвязи) между ними. Поэтому можно сказать, что она представляет собой систему классификации видов деятельности банка и устанавливает отношения (связи) между различными элементами (объектами) такой классификации. В качестве первичного признака классификации Бизнес-модели банка мы определили основные направления его деятельности, которые формируют основные элементы бизнес-модели.
Каждый из элементов Бизнес-модели банка может быть классифицирован далее (иерархически разделен на объекты) в соответствии со своей системой классификации, а затем, когда все возможные объекты в классификации будут определены, между ними должны быть установлены взаимосвязи.
Пример общей структуры Бизнес-модели банка приведен на рис. 1, где ее основные элементы (объекты первичной классификации по основным направлениям деятельности банка) выделены темным фоном. Дадим краткую характеристику каждого из этих элементов. Предварительно, однако, заметим, что при дальнейшем рассмотрении общей структуры Бизнес-модели банка необходимо иметь в виду, что не все ее объекты будут обязательными для любого банка: наша задача заключается в освещении принципа формирования такой модели и указании наиболее полной из возможных классификаций.
Модель бизнес-деятельности составляет объективную основу Бизнес-модели банка и определяет основные объекты классификации, обеспечивающие его функционирование как кредитного учреждения и субъекта рынка. Здесь в первую очередь необходимо дать определение клиентской базы банка: какие у него клиенты (например, корпоративные небанковские организации, физические лица и кредитные учреждения), на какие группы они, в свою очередь, подразделяются (например, крупные, средние и мелкие), а также каковы критерии отнесения клиентов к той или иной группе.
После определения групп и классификации клиентов (выделения клиентских сегментов) производится классификация продуктового ряда банка. Для этого могут быть использованы различные подходы: так, в ряде преимущественно крупных российских банков первичную классификацию продуктового ряда проводят на инвестиционные и коммерческие (по признаку или типу принадлежности к тому или иному рынку: биржевому или внебиржевому). Заметим сразу, что данная классификация, как и другие, не является обязательной или общепринятой, а определяется взглядами руководства банка на особенности, способы и уело вия ведения бизнеса. Далее каждый из двух типов продуктов может подвергаться дальнейшей классификации на группы продуктов данного типа. Так, продукты, относящиеся к типу "коммерческие", могут быть классифицированы по следующим продуктовым группам: расчеты, кредитные продукты, депозиты, ценные бумаги (неторгуемые), валютно-обменные (неторговые), проектное финансирование, документарные, лизинговые и др. Каждая из представленных продуктовых групп может быть, в свою очередь, классифицирована далее до уровня необходимой для построения Бизнес-модели детализации. Группа продуктов "расчеты" может быть разделена, например, на две подгруппы: расчеты в рублях и расчеты в иностранной валюте.
Рис. 1. Общая структура Бизнес-модели банка ОАО КБ «СОЦГОРБАНК»
Функциональное подразделение - структурная единица банка (сектор, отдел, управление), на которое возложено выполнение некоторой совокупности бизнес-функций (для бизнес-подразделений), функций обеспечения деятельности (для обеспечивающих подразделений) или функций контроля (для контролирующих подразделений). Бизнес-функция - вид деятельности, непосредственно связанный с получением банком финансового результата; реализуется бизнес-подразделением. Функция обеспечения - вид деятельности, непосредственно не связанный с получением банком финансового результата; реализуется обеспечивающим подразделением.
В этой связи важнейшими задачами СУБ по обеспечению реализации взаимосвязи между органами и объектами управления являются следующие распределения (классификации):
- уровней управления (принятия решений);
- задач (функций) управления для каждого уровня управления;
- решений органов управления (как способов выполнения задач управления);
- полномочий органов управления по формированию и реализации управленческих решений.
Иначе говоря, для каждого органа управления должны быть определены свои управленческие задачи и соответствующие им решения, также объем полномочий по их самостоятельному принятию и применению в деятельности банка. Кроме того, должны быть определены условия, при которых не допускается единоличное принятие решений данным органом управления, а требуется его рассмотрение вышестоящим или коллегиальным органом управления. Примеры распределения предмета настоящей книги - управленческих финансовых решений - по уровням управления показаны на рис. 2. На первом - преимущественно распределение функций управления, а на втором - иерархия и распределение самих решений между субъектами управления для конкретной оргструктуры одного из крупных российских банков.
Рис. 2. Схема формирования и распределения типовых решений по уровням управления ОАО КБ «СОЦГОРБАНК»
Если какой-либо орган управления принимает решения только по однородным задачам деятельности банка (например, проведение расчетов или маркетинговые исследования), то такой орган управления может рассматриваться как Центр принятия решений (ЦПР) по соответствующим вопросам. В этом случае управляемые им объекты оргструктуры банка, выполняющие группу однородных функций по реализации управленческих решений ЦПР, составляют Центр ответственности за их выполнение (например, в качестве ЦПР по вопросам бухучета и представления обязательной отчетности выступает главный бухгалтер банка, а центрами ответственности по различным вопросам учета - соответствующие структурные подразделения объединенной бухгалтерии). Центры ответственности могут также образовывать свою иерархию, которая может полностью и не совпадать с организационной структурой банка.
Любое управленческое решение должно базироваться на некоторых исходных параметрах и содержать ряд выходных показателей, характеризующих как текущее (прошлое), так и требуемое (будущее) состояние объектов управления. Помня о том, что управлять можно только тем, что измеримо, мы должны включить в состав СУБ систему (классификацию) аналитических и целевых показателей, используемых при формировании, принятии и контроле хода/качества выполнения управленческих решений. По значениям данных показателей будет делаться вывод о результатах выполнения решений (аналитические показатели) и достижении поставленных целей (решении задач) управления (целевые показатели). Данная система показателей должна соответствовать "дереву управленческих продуктов" (решений), и ее также целесообразно представлять в виде соответствующего "дерева". Пример первоначальной классификации (декомпозиции) системы аналитических показателей представлен на рис. 3. Отметим, что для формирования вариантов управленческих финансовых решений в ходе решения комплекса задач финансового планирования нами использовались показатели первых двух групп: масштабные и эффективности.
Порядок проведения в жизнь принятых решений определяется последним из рассматриваемых нами здесь информационных объектов, относящихся к СУБ, - инструментами управления, которые классифицируются как административные, экономические и смешанные. В условиях рыночной экономики выбор инструмента управления обычно затруднений не вызывает, однако в российских условиях монополии на основные виды производственной и финансовой деятельности следует учитывать, что и этот выбор тоже может быть сопряжен с определенными трудностями.
Дадим краткую характеристику оставшимся элементам Бизнес-модели банка: Модели обеспечения бизнеса и Модели обслуживания, которые непосредственно не связаны с реализацией (предоставлением клиенту) банковского продукта и получением финансового результата. При этом Модель обеспечения бизнеса описывает те информационные объекты, без работы которых формирование банковского продукта в принципе невозможно, например фондирование сделок, а Модель обслуживания определяет объекты, обеспечивающие условия для нормального функционирования и хозяйственной деятельности банка как финансового учреждения.
Рис. 3. Система классификации показателей для принятия управленческих решений (пример)
Проблема защиты банковских интересов от преступных посягательств со стороны недобросовестных заемщиков является одной из наиболее острых. Опыт работы кредитных организаций показывает, что немалое количество противоправных посягательств на их кредитные ресурсы могли бы предотвратить сами банковские работники при соответствующей проверке потенциальных ссудозаемщиков и правильной организации этой работы. Однако в большинстве случаев роль подразделений безопасности в этом процессе сведена к минимуму и их потенциал используется не в полной мере. В некоторых банковских структурах сотрудники подразделений безопасности в полной мере проверяют лишь недобросовестных клиентов или рискованные сделки. Зачастую они привлекаются лишь в тех случаях, если возникла необходимость установить личность клиента, его платежеспособность, надежность.
К компетенции подразделения безопасности должны быть отнесены вопросы по установлению репутации клиента с позиции возможного противоправного поведения и другие. В общих чертах это:
1. Технико-криминалистический анализ учредительных и иных документов с целью выявления подделок.
2. Проверка факта действительности существования клиента, его репутации.
3. Проверка наличия имущества, предоставленного в залог.
4. Организация работы по погашению просроченных ссуд.
5. Подготовка и направление документов в правоохранительные органы, если из материалов усматриваются признаки преступления.
Эти банковские подразделения должны работать в тесном контакте, помогать и консультировать друг друга. Такая совместная работа должна начинаться уже в момент переговоров с потенциальным клиентом. В ходе переговоров каждый сотрудник выясняет сведения о будущем заемщике исходя из своих функциональных обязанностей.
Предложенный вариант переговоров с потенциальным ссудозаемщиком принципиально отличается от существующего в практике многих кредитных организаций. Эти переговоры в подавляющем большинстве ведет кредитный инспектор. Участие же в них юристов и сотрудников подразделения безопасности дает возможность выяснить специфические для них вопросы, обратить внимание на те или иные моменты, предусмотреть возможные меры воздействия к клиентам, вовремя не возвратившим ссуды.
Важное значение в работе кредитной организации и, прежде всего, кредитного подразделения, а также подразделения безопасности должно быть уделено контролю (мониторингу) за выданными кредитами, т.е., выявлению фактов, которые должны «насторожить» кредитную организацию.
Одной из наиболее важных проблем, связанных с обеспечением экономической безопасности, является противодействие легализации (отмыванию) преступно полученных капиталов. Причем эта проблема актуальна для всех стран мира, независимо от их экономического развития и политического устройства. Легализация криминальных доходов - это сокрытие незаконного происхождения преступных доходов, искажение природы их происхождения, места нахождения, размещения, движения, придание им в любых формах правомерного вида.
Правила внутреннего контроля включают в себя следующие элементы:
1. Порядок документированного фиксирования необходимой информации.
2. Порядок обеспечения конфиденциальности информации.
3. Квалификационные требования к подготовке и обучению кадров.
4. Критерии выявления и признаки необычных сделок с учетом особенностей деятельности кредитной организации.
Комплекс мероприятий по осуществлению внутреннего контроля разрабатывается банковским учреждением, исходя из особенностей его организации, основных направлений его деятельности, клиентской базы и уровня рисков, связанных с клиентами и их операциями. Для разработки и реализации указанных выше мероприятий назначается ответственный сотрудник или создается самостоятельное подразделение.
Целью политики информационной безопасности автоматизированной платежной системы является обеспечение ее надежного и бесперебойного функционирования в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы системы, к разрушению ее системы безопасности и хищению денежных средств.
Политика информационной безопасности автоматизированной платежной системы должна обеспечивать:
1. Выполнение действующего законодательства в области организации и функционирования национальной платежной системы.
2. Соблюдение действующих нормативных документов Банка России и установленных правил по организации и проведению расчетов, ведению бухгалтерского учета, организации операционной работы, документооборота, внутрибанковского контроля и бухгалтерской отчетности.
3. Минимально необходимый, гарантированный доступ пользователя к тем и только тем информационным ресурсам автоматизированной платежной системы, которые необходимы ему для исполнения своих служебных обязанностей или реализации его прав в этой системе.
4. Поддержание и контроль действующего в автоматизированной платежной системе технологического процесса обработки, передачи и хранения расчетных документов и информации, связанной с совершением расчетных операций.
5. Защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов.
6. Восстановление информационных ресурсов автоматизированной платежной системы и платежных документов в случаях их умышленного или случайного разрушения или искажения.
Анализ возможного экономического ущерба в системе электронных платежей показывает, что выход из строя или сбой автоматизированной платежной системы может иметь более серьезные последствия, чем нарушение конфиденциальности в этой системе. В связи с этим приоритеты безопасности, применительно к этой системе, по мере их важности Банком России определены в следующем порядке: надежность, бесперебойность, устойчивость, целостность, конфиденциальность.
Основными угрозами автоматизированной платежной системе являются: нарушение сроков и порядка прохождения платежных документов; искажение, фальсификация, переадресация, несанкционированное уничтожение, ложная авторизация платежных документов; нарушение конфиденциальности платежной информации, отнесенной к сведениям ограниченного распространения.
В основу осуществления комплекса мероприятий по обеспечению информационной безопасности автоматизированной платежной системы должен быть заложен принцип разумной достаточности, который в данном случае заключается в следующем:
1. Информация должна быть защищена от тех угроз, реализация которых может нанести ущерб платежной системе.
2. Информация в автоматизированной платежной системе должна быть защищена в течение времени, установленного законами Российской Федерации и нормативными документами Банка России, т.е. в течение которого несанкционированные действия по отношению к данной информации могут привести к ущербу.
3.Затраты на обеспечение информационной безопасности автоматизированной платежной системы должны быть адекватны величине возможного ущерба от реализации угроз, т.е. затраты напрямую зависят от стоимости защищаемых ресурсов платежной системы и вероятности реализации угроз по отношению к указанным ресурсам.
Безопасность технологии обработки электронного платежного документа (ЭПД) должна обеспечиваться созданием системы, включающей в себя комплекс технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения этих документов
Принимаемые при этом решения должны обеспечить равнопрочность защиты всех составных частей технологического процесса обработки ЭПД. В противном случае, наличие в технологическом процессе хотя бы одного незащищенного (или слабо защищенного) участка может привести к дискредитации всей автоматизированной платежной системы в целом.
Важное значение для обеспечения информационной безопасности является введение такого понятия как зоны ответственности в автоматизированной платежной системе.
Существует две зоны материальной и юридической ответственности:
1. Зона ответственности кредитной организации.
2. Зона ответственности Банка России.
Банк России обеспечивает информационную безопасность процесса обработки, передачи и хранения ЭПД от момента приема в территориальное учреждение Банка России платежного документа от кредитной организации до момента доставки кредитной организации выписки территориального учреждения Банка России о состоянии счета.
Защита информации в автоматизированных банковских системах имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. К их числу относятся:
1. Приоритет экономических факторов, т.е. для автоматизированных банковских систем весьма важно всяческое снижение или исключение финансовых потерь, получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Это, в частности, включает
минимизацию типично банковских рисков, например, потери за счет оши-бочных направлений платежей, фальсификации платежных документов.
2. Открытость проектирования, которая заключается в создании подсистемы защиты информации из средств, широко доступных на рынке.
3. Юридическая значимость банковской информации, которая приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране, особенно при взаимодействии автоматизированных систем различных юридических лиц.
Под защитой информации в автоматизированных информационных банковских системах (АИБС) понимается совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.
Конфиденциальность информации-свойство автоматизированной банковской системы, заключающееся в том, что в условиях случайных и преднамеренных угроз информация предоставляется только авторизованному пользователю.
Целостность информации - свойство автоматизированной банковской системы сохранять неизменность или обнаруживать факт изменения информации в условиях случайных и преднамеренных угроз.
Доступность информации - свойство автоматизированной банковской системы, заключающееся в том, что в условиях случайных и преднамеренных угроз информация предоставляется в том виде и в том месте, которые необходимы пользователю, и в то время, когда они ему необходимы.
Доступность определяется как наличием необходимой информации, так и готовностью системы к обслуживанию.
Построения системы защиты АИБС состоят в следующем: системность, комплексность, непрерывность защиты, разумная достаточность, гибкость управления и применения, открытость алгоритмов и механизмов защиты, простота применения защитных мер и средств.
Система защиты информации в АИБС должна удовлетворять следующим требованиям: централизованность, плановость, конкретность и целенаправленность, активность, надежность и универсальность, нестандартность, открытость, экономичность.
Рисунок 1. Блок-схема системы информационной безопасности АИБС кредитной
организации.
Исходными положениями построения системы защиты АИБС является уже существующая или проектируемая вычислительная сеть электронных платежей, известна ее архитектура и методы взаимодействия между ее компонентами. Задана политика безопасности, считается известным набор средств и механизмов обеспечения информационной безопасности.
|
обратная связь
