Дипломная работа: Механизм обеспечения финансовой безопасности коммерческого банка на примере ООО "Хоум Кредит энд Финанс Банк" (ООО "ХКФ Банк")
общая структура каждой из подсистем должна соответствовать следующей типовой схеме: «определение целей процесса - планирование и организация процесса - оперативное управление процессом - оценка результатов процесса путем сопоставления их с ранее запланированными целями»; формализованное закрепление функций, связанных с эксплуатацией подсистем, за соответствующими руководителями и специалиста ми как штабных, так и коммерческих подразделений фирмы, включая и механизм личной ответственности за их выполнение.
Блок обеспечения является необходимой частью любой управляющей системы. Формируя исходные условия для эффективного управления, он включает в себя несколько направлений.
а) Информационное обеспечение системы управления безопасностью включает в себя три компонента:
используемые в рамках системы методы и конкретные процедуры получения субъектами управления необходимой первичной информации;
формализованные каналы прохождения информации в рамках системы, которые определяют маршрут движения ранее собранной информации по инстанциям (принципиальная схема: от кого - кому - в какой форме - в какие сроки);
базы данных, связанных с любыми проблемами внутренней и внешней безопасности, которые накапливаются и обновляются в течение всего периода функционирования на рынке и используются при формировании управленческих решений любого уровня.
б) Нормативно-методическое обеспечение включает в себя комплект внешних и внутренних регламентов, используемых в процессе управления рассматриваемым направлением деятельности, а также документов рекомендательного, т.е. не директивного характера. К внешним регламентам относятся законодательные (например, Закон РФ «О частной детективной и охранной деятельности в РФ») и подзаконные (например, Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну») акты. К внутренним регламентам и рекомендациям относятся любые постоянно действующие документы, разработанные в рамках конкретного банка и введенные в соответствии с действующим в нем порядком - инструкции, приказы, распоряжения и т.п. Единственным ограничением при разработке внутренних регламентов является их хотя бы формальное соответствие (непротиворечивость) действующему законодательству.
в) Технологическое обеспечение определяется как совокупность формализованных технологий обеспечения безопасности банка от раз личных видов угроз. Их наличие является основной предпосылкой эффективности управления, поскольку позволяет четко определить:
непосредственных участников (инстанции и рабочие места, принимающие участие в описываемой операции по защите от конкретной угрозы);
управленческие процедуры (мероприятия, осуществляемые в рамках операции);
типовые сроки по операции в целом и каждой управленческой процедуре в отдельности;
ответственность участников за нарушение описываемой технологии.
г) Инструментальное обеспечение определяется как совокупность прикладных методов управления, используемых в рамках системы . Применительно к управлению безопасностью их можно дифференцировать на три группы:
методы профилактического характера, позволяющие не допустить практической реализации потенциальной угрозы;
методы пресекающего характера, позволяющие отразить уже реализуемую угрозу, не допустив или минимизировав возможный ущерб;
методы карающего характера, позволяющие наказать непосредственных виновников реализованной угрозы.
д) Трудовое обеспечение определяется как полностью укомплектованный штат службы безопасности, включающей в себя три квалификационные категории работников:
менеджеры, т.е. руководители различного уровня - от возглавляющего рассматриваемое направление вице-президента банка до бригадира смены охранников;
эксперты, т.е. высококвалифицированные сотрудники службы безопасности, специализирующиеся на определенных направлениях ее обеспечения (аналитики, разработчики специальных программных средств и т.п.), но не выполняющие при этом прямых управленческих функций;
исполнители (охранники, ремонтники спецоборудования и др.).
е) Финансовое обеспечение определяется как совокупность финан совых ресурсов, выделяемых на поддержание и развитие рассматриваемого направления (приобретение спецоборудования, зарплата персонала, оплата информации и т.п.).[2]
При формировании, эксплуатации и развитии системы управления безопасностью банка необходимо соблюдать некоторые общие методические требования. Главным из них выступает системный подход к проблеме обеспечения безопасности. Под этим понимается недопустимость акцентирования усилий службы безопасности на отражении какого-либо одного или нескольких видов потенциальных угроз в ущерб остальным. Нарушение данного требования до настоящего времени характерно для многих отечественных коммерческих фирм и определяется, чаще всего, прежней областью профессиональной деятельности руководителя рассматриваемого направления.
Вторым требованием определяется приоритет мероприятий по предотвращению потенциальных угроз (т.е. методов профилактического характера). Оно не требует дополнительных обоснований уже в силу обеспечиваемой возможности не допустить ущерба в принципе, тогда как прочие методы в лучшем случае позволяют его сократить или наказать виновников.
Третьим требованием выступает ориентированность системы на обеспечение приоритетной защиты конфиденциальной информации и лишь затем иных объектов потенциальных угроз. Роль информации и информационных технологий в функционировании современной цивилизации, государства, отдельных фирм последовательно увеличивается. Все для большего числа хозяйствующих субъектов утеря или разглашение информации становится более значимой потерей, нежели хищение денежных средств и материальных ценностей. Появление и развитие глобальных компьютерных сетей определило появление еще одного источника постоянных угроз информационной безопасности - несанкционированное проникновение в базы данных. Хакерство из экзотической формы интеллектуальной деятельности ограниченного контингента специалистов по разработке программных средств уже в конце 70-х годов превратилась в новую профессиональную специализацию для работников не только государственных спецслужб, но и частного, в том числе и криминального, бизнеса. Наблюдаемый в последние десятилетия резкий рост как общей номенклатуры угроз информационной безопасности банков, так и масштаба потерь от них, определяет необходимость реализации данного требования.
Четвертым требованием является непосредственное участие в обеспечении безопасности банка всех ее структурных подразделений и сотрудников в рамках установленной им компетенции и ответственности. Структура возможных угроз, среди которых не последнее место занимают и угрозы со стороны собственного персонала, исключают возможность эффективного противодействия им силами исключительно сотрудников службы безопасности. Поэтому в заключительном разделе пособия специально рассматривается комплекс мероприятий по воспитанию в трудовом коллективе соответствующей идеологии и обучению его членов методам профилактики и пресечения наиболее вероятных угроз.
Пятым требованием выступает обеспечение взаимодействия системы управления безопасностью с другими направлениями менеджмента. Указанное требование реализуется как на стратегическом, так и на оперативном уровне системы управления. В отечественных условиях в режиме оперативного управления наиболее тесная взаимосвязь должна обеспечиваться между рассматриваемой системой и персональным менеджментом. Нарушение требования о координации управления различными направлениями деятельности может привести к крайне негативным последствиям. В случае, когда при разработке смежных систем управления (например, финансового менеджмента или маркетинга) будут нарушены требования со стороны рассматриваемой системы, резко увеличивается вероятность негативной реализации соответствующих угроз. В свою очередь нормальное функционирование смежных систем управления будет постоянно нарушаться, если управление безопасности будет организовано по принципу самодостаточности - безопасность ради самой безопасности. Таким образом, комплексная система управления должна формироваться с учетом обеспечения относительного паритета или баланса интересов каждого из направлений деятельности кредитно-финансовой организации.
Шестым требованием является соразмерность затрат на обеспечение безопасности банка реальному уровню угроз. Оно связано с реализацией принципа разумной достаточности. С позиции конечной эффективности системы в равной степени недопустимо экономить на рассматриваемом направлении деятельности, ослабляя собственную безопасность, и преувеличивать возможные угрозы, осуществляя излишние, т.е. не окупаемые расходы. Учитывая, что руководство службы безопасности по очевидным причинам склонно именно к завышению уровня потенциальных угроз, для соблюдения данного требования желательно привлечение независимых экспертов в лице сотрудников государственных правоохранительных органов или частных охранных структур.
Заключительным требованием является формализованное закрепление не только функциональных обязанностей, но и полномочий (предела компетенции) службы безопасности. В отличие от других направлений деятельности банка работа большинства сотрудников этого подразделения всегда связана с угрозой превышения служебных полномочий. В результате велика вероятность возбуждения против кредитно-финансовой организации уголовных дел и гражданских исков по обвинению в нарушении действующего законодательства или гражданских прав.
Оценка эффективности управления безопасностью является необходимым элементом системы. Она позволяет решить несколько прикладных задач, в частности, осуществлять статистический анализ вероятности негативной реализации тех или иных угроз, а также объективно оценивать результативность деятельности службы безопасности. В отличие от большинства других направлений менеджмента здесь не всегда можно точно подсчитать обеспеченный экономический эффект. В частности, затруднительно определить возможные потери от своевременно пресеченных угроз. По некоторым видам угроз, например, в адрес сотрудников банка прямой эффект невозможно рассчитать в принципе. Поэтому приходится опираться на результаты не только прямой, но и косвенной оценки. Ниже приводится перечень критериев, которые целесообразно использовать для решения этой задачи: