`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Интеграция данных и риск-менеджмент

+22
голоса

Несмотря на всеобщее сокращение расходов на ИТ, финансовые организации сегодня демонстрируют значительный спрос на технологические решения для управления рисками и это вполне объяснимо.

Интеграция данных и риск-менеджмент

Согласно результатам ежегодного отчета компании Chartis Research RiskTech100, составленного по итогам исследования возможностей поставщиков ИТ в сфере риск-менеджмента для организаций финансового и реального сектора, расходы на продвинутые инструменты для управления рисками продолжают расти. Сегодня в рассматриваемом сегменте представлены решения различной степени зрелости. Банки и рынки капитала традиционно являются покупателями (и пользователями) наиболее апробированных решений. Повысить расходы на технологии управления рисками планируют также и организации других отраслей: страхования, энергетики, производства товаров широкого потребления, государственного сектора и т.д.

Согласно отчету, идея по внедрению интегрированных инструментов управления, контроля рисков и комплаенса (governance, risk&compliance, GRC) появилась примерно десять лет назад. За последние 18 месяцев финансовые и нефинансовые организации значительно продвинулись на пути к ее воплощению. В числе факторов, определяющих эту тенденцию, можно отметить множество требований со стороны регулирующих органов, необходимость контролировать растущие затраты на соблюдение требований и стремление компаний упростить свои бизнес-процессы. Несколько локальных и глобальных финансовых организаций в Европе и США объединили свои инструменты для контроля рисков и комплаенса. Более того, часть ведущих консалтинговых фирм (включая некоторые консультационные компании «большой четверки») активно продвигают идею применения инструментов GRC в качестве лучшей мировой практики. Однако попытки одновременного полномасштабного внедрения GRC имели успех лишь в немногих компаниях, так как эта задача требует поэтапного модульного подхода.

Как правило, компании начинают с автоматизации одного из следующих направлений:
• эксплуатационные риски и соблюдение требований;
• рыночные и кредитные риски;
• риски мошенничества и противодействие отмыванию денег;
• риски мошенничества и ИТ-безопасность;
• финансовые риски.

Часто создание комплекса GRC начинают именно с последнего пункта, с управления финансовыми рисками. Для многих компаний очень важно обеспечить в этой сфере согласование данных, метрик и процессов. Несколько поставщиков решений для риск-менеджмента, входящих в список RiskTech100, в том числе и компания SAS, воспользовались спросом, сформированным данной тенденцией: сегодня они предлагают интегрированные системы управления данными, рабочими процессами, аналитикой и отчетами. Конечной целью в этом случае является создание корпоративной ИТ-инфраструктуры для управления деятельностью компании с учетом рисков. При этом базой для инфраструктуры должна стать многофункциональная и гибкая технологическая платформа, благодаря которой организации получают качественно иной инструмент, способный аккумулировать всю необходимую информацию в одном месте, сохраняя при этом высокий уровень защиты и распределяя права доступа к ней.

Интеграция данных и риск-менеджмент
Сегодня на рынке представлено множество решений для управления кредитными рисками, риском ликвидности и т.д. Однако не стоит забывать, что к финансовым рискам относятся также риски финансовых преступлений – мошенничества и отмывания доходов, из-за которых кредитно-финансовое учреждение может потерять не только средства, но и репутацию.

Ввиду того, что компания SAS – признанный лидер по части предотвращения финансовых преступлений (согласно Chartis Research, SAS возглавляет рейтинг RiskTech100), более подробно остановимся на инструментах для противодействия мошенничеству и рассмотрим перспективы объединения систем управления рисками мошенничества и решений по информационной безопасности. Особенно это актуально в сегодняшних реалиях, когда риски финансовых преступлений растут в геометрической прогрессии.

С учетом того, что мошенники обладают возможностью использовать новейшие технологии и продолжают придумывать новые схемы, банкам предстоит проделать еще большую работу в борьбе с ними. Это касается как относительно новых видов мошенничества, таких как мошенничество в ДБО, так и давно появившегося кредитного и карточного мошенничества. Кроме того, очень актуальной является проблема внутреннего мошенничества, проявляющегося в разных процессах и подразделениях банка. Во всех этих случаях автоматизация будет играть важнейшую роль. Многие существующие информационные системы по борьбе с мошенничеством построены только на экспертном понимании действий мошенников, что приводит к двум основным проблемам. Первая – это пропуск действий, которые находятся вне уже известных схем, что становится причиной денежных и репутационных потерь для банка. Вторая – это формирование избыточных ложных сигналов при попытке повысить уровень выявления случаев мошенничества за счет увеличения количества правил. При этом растут издержки на проведение расследований подозрительных действий.

Однако в банках для противодействия различным типам мошенничества применяются разрозненные системы. Например, заниматься борьбой с мошенничеством в целом, ипотечным мошенничеством и мошенничеством с банковскими картами могут различные отделы. Часто эти отделы не обмениваются между собой информацией и имеют разных руководителей, ответственных за противодействие мошенничеству в различных сферах. Обычно все эти отделы подчиняются директору по управлению рисками (Chief risk officer, CRO). При этом задачи по ИТ-безопасности (например, связанные с доступом к системам) обычно находятся в компетенции исключительно ИТ-отдела и относятся к области ответственности ИТ-директора. Однако традиционные угрозы все чаще сочетаются с новыми (например, информационными) и могут оказаться в «слепых зонах» этих разрозненных систем. Организованные преступные группы направляют атаки по нескольким каналам одновременно, зная, что во многих банках из-за этой исторической разделенности отсутствует целостный подход к управлению рисками и безопасностью, и нет возможности видеть общую картину. Кроме того, устаревшие системы информационной безопасности, средства управления журналами событий и ПО для управления рисками, которые по-прежнему являются основой множества архитектур управления рисками и безопасностью, часто не позволяют проводить в реальном времени глубокий анализ действий пользователей, транзакций и данных.

В условиях, когда решения безопасности остаются разрозненными, а банки продолжают выпускать все новые продукты и услуги, злоумышленники могут проверять уязвимость финансовой организации по нескольким каналам одновременно и обходить имеющиеся системы управления и защиты. Для противодействия таким типам преступлений банкам необходимо выработать столь же комплексный подход и объединить все имеющиеся данные в рамках одной системы. Так, платформа SAS объединяет в себе как инструменты расчета рыночных рисков, так и решения для противодействия мошенничеству с целью выявления и анализа потенциально опасных сделок и решения для противодействия отмыванию доходов, полученных преступным путем. При обработке события в режиме реального времени поведенческие характеристики и данные анализируются мгновенно, с приоритезацией оповещений на основании степени угрозы. С точки зрения рыночного риска, платформа позволяет банку получать отчет в тот же день, когда происходит рисковое событие, и оперативно реагировать на происходящее.

Во многих странах в последнее время были введены требования к банкам, обязывающие их оценивать системы управления рисками с помощью комплексного подхода. Ведущие банки быстро реагируют на новые угрозы со стороны организованного преступного сообщества, интегрируя системы управления рисками мошенничества и противодействия кибератакам в масштабах всей организации. Чтобы справиться с этой двойной нагрузкой, финансовым организациям необходимо решать технологические задачи, потому что с этой точки зрения для банков важно обеспечить интеграцию информации из разрозненных систем с помощью общей платформы. При этом необходимо учесть все типы данных: структурированные (например, данные о транзакциях и счетах) и неструктурированные (например, электронную почту, видео, изображения и информацию в социальных сетях). Важным условием этих изменений является введение общих стандартов данных для различных отделов компании. Таким образом, внедрение единой среды управления данными в сферах ИТ-безопасности и противодействия мошенничеству критически важно для успеха в этой области.

Наш опыт показывает, что для эффективной интеграции данных необходима единая аналитическая платформа, с помощью которой аналитики и сотрудники служб безопасности могут полностью нивелировать риск появления угроз мошенничества фактически в режиме реального времени. Доступ к широкому диапазону интегрированных данных с помощью единого интерфейса значительно повышает эффективность процесса расследования и аналитической работы сотрудников. Например, при использовании решения SAS Memex, которое фактически является частью системы поддержки принятия решений, у руководства сокращается время, необходимое для контроля и оперативного ознакомления с текущей ситуацией, что зачастую имеет критическое значение.

При этом важно понимать, что объединение всех этих систем — достаточно крупный проект, реализация которого займет немало времени. Для любых преобразований бизнеса такого масштаба необходим поэтапный подход. Проект должен осуществляться в соответствии со стратегией банка и его позиционированием. Особенности реализации, разумеется, будут зависеть от особенностей организации и культуры конкретного банка. Однако можно выделить некоторые общие этапы, которые могут оказаться полезными во всех случаях.

Интеграция данных и риск-менеджмент

Мы ожидаем, что финансовые организации в скором времени достигнут сходной согласованности и будут обмениваться информацией через общие платформы. Кроме того, мы прогнозируем принятие законов и появление средств для их реализации, которые помогут банкам лучше координировать свои действия, защищать свою собственность и клиентов. Переход к этому уровню взаимодействия может потребовать нескольких лет. По прогнозам агентств Accenture и Chartis, эта тенденция в масштабах всей отрасли будет только усиливаться. Ведущие банки закономерно будут менее подвержены атакам, и преступники будут ориентироваться в первую очередь на слабо защищенные компании. В условиях, когда финансовые институты стараются превзойти друг друга в надежности хранения клиентских данных, слияние средств управления ИТ-безопасностью и противодействия мошенничеству, бесспорно, предоставит им конкурентные преимущества.

Современные финансовые организации сталкиваются с более широким спектром рисков, чем когда-либо ранее. Это обусловлено стремлением внедрять новые технологии и открывать новые каналы взаимодействия с клиентами для сохранения конкурентоспособности. При этом требования регулятивных органов ужесточаются, и компаниям приходится выделять больше ресурсов на инструменты оценки и создания отчетов о финансовых преступлениях и рисках. Централизованное управление противодействием финансовым преступлениям позволит организациям существенно сократить операционные издержки. Объединение средств анализа и управления данными, а также рабочих процессов позволит повысить их прозрачность и гибкость, уменьшить дублирование действий при анализе финансовых преступлений для различных направлений деятельности и регионов, сформировать комплексное представление о клиенте на всех этапах проведения транзакций. Компании, неспособные справиться с этими рисками и задачами, в будущем столкнутся с серьезными проблемами: клиенты, инвесторы и заинтересованные лица уделяют все большее внимание безопасности и надежности финансовых организаций, их репутации и защищенности бренда.

На сегодняшний день возникла устойчивая ассоциация: прозрачная финансовая организация, где выстроены понятные и эффективно работающие процессы контроля над средствами и перемещением денежной массы, – это надежная финансовая организация. Таким образом, организациям потребуется выработать единый подход к управлению рисками финансовых преступлений и соблюдением требований, который поможет им более эффективно обнаруживать преступные атаки и мошеннические действия, а также избегать штрафов со стороны регулятивных органов. В итоге это позволит сократить операционные затраты и повысить защищенность компании.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT