УДК 336.71.021:[004.73:005.334]
ОПЕРАЦ1ЙНО-ТЕХНОЛОГ1ЧНИЙ РИЗИК I ЙОГО ВПЛИВ НА Ф1НАНСОВИЙ СТАН СУЧАСНО1 БАНК1ВСЬКО1 УСТАНОВИ
®2018 ПРИМАК Ю. Р.
УДК 336.71.021:1004.73:005.334]
Примак Ю. Р. Операцiйно-технологiчний ризик i його вплив на фшансовий стан сучасно! банмвськоТ установи
Метою cmammi е вияв особливостей поняття «ризик банювсько! д'яльностЬ> та класиф'шащя загроз банювськш установ/ в розр:з: групи опера-цшно-технолог/чнихризиюв, що здатн/ активно впливати на фшансовий стан iд'шовурепутацю банку. Проведено анал/з та оцнку класиф'жаци ризиюв банювсько! д'тльност'! у в'дпов'дност'! до м/жнародних i нацюнальних норматив'ю. Розроблено рекомендацИ щодо оптим/зацИ детермi-нацИризиюв, якi в'днесено до операцшно-технолог'то'! групи. Надано характеристику базовим факторам, якi впливають на операцшно-техно-лог/чт ризики д'тльност'! фнансово!' установи. Описано динам/ку та базовi види контролю над юбернетичними загрозами. Визначено головт види та складовi юбернетичних атак на програмне забезпечення оргамзацп. Вид'шено основнi напрямки по вдосконаленню виявлення та оцнки операцшно-технолог'тихризик/в на основiметодики стрес-тестування банюв. Цшшсть статтi полягае в актуал'ваци шдход/в до класиф'шаци ризиюв та пошуку способ/в отримання б'шьш точних результат!в стосовно фшансового стану банку.
Кпючов'1 слова: ризик банювсько'! д'яльностi, операцшно-технолог'тий ризик, юбернетичм загрози, юберсередовище, стрес-тестування. Рис.: 7. Табл.: 1. Шбл.: 14.
Примак Юлiана Pocmu^aBiBHa - асшрантка, здобувач, кафедра облку в кредитних i бюджетних установах та економ/чного анал/зу, Ки!вський нацюнальний економ/чний ушверситет !м. В. Гетьмана (просп. Перемоги, 54/1, Ки!в, 03057, Украна) E-mail: [email protected]
УДК 336.71.021:[004.73:005.334] Примак Ю. Р. Операционно-технологический риск и его влияние на состояние современного банковского учреждения
Целью статьи является выявление особенностей понятия «риск банковской деятельности» и классификация угроз банковскому учреждению в разрезе группы операционно-технологических рисков, которые способны активно влиять на финансовое состояние и деловую репутацию банка. Проведены анализ и оценка классификации рисков банковской деятельности в соответствии с международными и национальными нормативами. Разработаны рекомендации по оптимизации детерминации рисков, которые отнесены к операци-онно-технологической группе. Представлена характеристика базовых факторов, влияющих на операционно-технологические риски деятельности финансового учреждения. Описана динамика и основные виды контроля над кибернетическими угрозами. Определены базовые виды и составляющие кибернетических атак на программное обеспечение организации. Выделены основные направления по совершенствованию выявления и оценки операционно-технологических рисков на основе методики стресс-тестирования банков. Ценность статьи заключается в актуализации подходов к классификации рисков и поиске способов получения более точных результатов относительно финансового состояния банка.
Ключевые слова: риск, операционно-технологический риск, кибернетические угрозы, киберсреда, стресс-тестирование. Рис.: 7. Табл.: 1. Библ.: 14.
Примак Юлиана Ростиславовна - аспирантка, соискатель, кафедра учета в кредитных и бюджетных учреждениях и экономического анализа, Киевский национальный экономический университет им. В. Гетьмана (просп. Победы, 54/1, Киев, 03057, Украина) E-mail: [email protected]
UDC 336.71.021:1004.73:005334] Prymak Ju. R. The Operational-Technological Risk and its Impact on the Status of a Contemporary Banking Institution
The article is aimed at identifying peculiarities of the concept of «risk of banking activity» and classification of threats to a banking institution in the context of a group of the operational-technological risks, which are able to actively influence the financial condition and business reputation of a bank. An analysis and an evaluation of the classification of risks of banking activity in accordance with international and national regulations are carried out. The recommendations on optimization of determination of the risks which are assigned to the operational-technological group are elaborated. A characterization of the basic factors influencing operational-technological risks of activity of financial institution is presented. The dynamics and main types of control over cyber threats are described. The basic types and components of cybernetic attacks on the software of organization are defined. The main directions on improvement of detection and estimation of operational-technological risks on the basis of methods of stress-testing of banks are allocated. The value of the article consists in updating the approaches to classifying risks and finding ways to obtain more accurate results regarding the bank's financial condition.
Keywords: risk, operational-technological risk, cyber threats, cyberenvironment, stress testing. Fig.: 7. Tbl.: 1. Bibl.: 14.
Prymak Juliana R. - Graduate Student, Applicant, Department of Accounting in Credit and Budgetary Institutions and Economic Analysis, Kyiv National Economic University named after V. Hetman (54/1 Peremohy Ave, Kyiv, 03057, Ukraine)
E-mail: [email protected]
Сучасш процеси глобалiзащI та розвитку науко-во-технолопчного прогресу зумовлюють не-обх^дшсть адаптащ! укра'шських баншвських установ до рiвня мiжнародних фшансових в^носин. Мiжнароднi штеграцшш процеси здшснюються i3 за-стосуванням базових принцишв та форм зовшшньо-економiчних зв'язшв, а саме: провадження активно! шдприемницько! дiяльностi, здшснення операцш торгiвлi товарами та послугами, мiжнародне сшвро-биництво. Щд впливом глобальних процеав про-
порцшно зростае обсяг i масштаби кризових явищ та дестибшзацшних впливiв на фшансовий сектор економши, ефективний контроль та мошторинг яких здатш стабшзувати фшансовий стан i шдтримати iмiдж банку.
При реалiзащi баншвських продукпв розмiр збитшв в1д виникнення ризику вiдрiзняeться залежно в^д його виду. Осккьки баншвська дiяльнiсть, порiв-няно з шшими видами шдприемництва, характеризуемся шдвищеним рiвнем вразливосп до негативних
факторiв, баншвськ установи потребують постшно-го вдосконалення вкповкно! системи управлiння та попередження вiрогiдних загроз, шляхом вдосконалення ризик-менеджменту та застосування концепцй корпоративного управлшня.
Цифровiзацiя та впровадження в банкшських установах сучасних шформацшних технологiй зу-мовила зростання рiвня операцiйно-технологiчного ризику, тому вiдстеження особливостей мошторингу та управлiння саме щею групою ризикiв зумовлюе ак-туальшсть обрано! теми досмдження.
Дослiдженням у сферi класифiкацГi ризикiв бан-швсько! дiяльностi та провадження дiевого ризик-менеджменту з метою шдтримки достатнього рiвня фшансово! стiйкостi та iмiджу фiнансових оргашза-ц1й, присвячують сво! роботи такi вiтчизнянi та за-кордоннi вченi, як: Данiлова Л. [7], Кадшчанська В. [8], Криклш О. [9], Крухмаль О. [9], Заднепровська С. [13], Торяник Ж. [8], Манжос С. [11], Парасш-Вергу-ненко I. [12; 13], Люта О. [10], Волков Д. [6], Школьник I. [10] та ш.
Узагальнюючи щншсть результапв проведених рашше дослкжень по обранiй тем^ варто за-уважити, що певна ккьюсть питань потребують бкьш ретельного розкриття та подальшого розвитку. Зокрема, це стосуеться пошуку сучасних шляхiв вiдстеження та управлiння операцшно-тех-нолопчним ризиком баншвсько! дiяльностi з метою подальшого швелювання його негативного впливу на банювськ установи, а також вияв можливих шляхiв попередження та прогнозування в умовах сучасно! економiчноi ситуаци.
Метою статтi е вияв особливостей характеристики та класифкаци загроз банювсько! дiяльностi в розрiзi групи операцiйно-технологiчних ризикiв та аналiз впливу як його традицiйних складових, так i абсолютно нових рiзновидiв на фiнансовий стан банку.
Виходячи з мети досл^дження виокремлено таю завдання:
+ визначення поняття «ризик» та охаракте-ризувати головш види ризикiв банкiвських установ на основi аналiзу мiжнародних i на-цiональних положень; + надання характеристики поняття «операцш-но-технологiчного ризику» на основi огляду останн1х публiкацiй та до^джень в цьому напрямку;
+ детермшування основних факторiв, що впли-вають на операцшно-технолопчний ризик та видкити новi загрози банкiвськiй дiяльностi; + виявлення базових елементiв загроз, що ви-никають у процесi провадження дiяльностi в умовах кiбернетичного середовища; + пошук шляхiв мшiмiзащi та мошторингу операцшно-технолопчного ризику з викори-станням методу стрес-тестування.
На сьогодншнш день не icHye загальноприй-нятого визначення поняття «ризик баншв-сько! дiяльноcтi». Це твердження шдтриму-ють у сво!й робой Каднiчанcька В. М., Торяник Ж. I. та Зорянський В. А., якг вкзначають, що розбiжноcтi простежуються навiть i3 нормативно-правового боку [8, с. 72].
Ризик у загальному тлумаченш - це неминуча загроза, що виникае в ходi провадження будь-яко! дь яльноcтi.
Параciй-Вергyненко I. М. вкзначае, що пiд бан-кiвcьким ризиком розумготь можливicть зазнати втрат у разi виникнення несприятливих для банку обставин [12, с. 178].
Вкповкно до визначення НБУ ризик банюв-сько! дiяльноcтi (banking risks) - це ймовiрнicть того, що поди, очкуваш або неочiкyванi, можуть мати не-гативний вплив на каштал та/або надходження банку [14]. Вкповкно банкiвcькi ризики клаcифiкyють на групу прямих (зменшення або втрата доходiв, зростання збиткiв чи знецшення капiталy) та непрямих ризи-кгв (опосередкований негативний вплив на баншвську дiяльнicть шляхом накладення вiдповiдних обмежень та санкцш або виникнення несприятливих економiч-них умов на рiвнi кра!ни чи cвiтy). Але це не виключна клаcифiкацiя ризикiв, що здатш впливати на банк.
Волков Д. П. стверджуе, що при дослкженш поняття «баншвський ризик» у бкьшоси випадкiв на-уковщ намагаються адаптувати визначення категори «ризик» до cпецифiчних умов його виникнення в бан-кiвcькiй дiяльноcтi [6, с. 134].
Вперше групи баншвських ризикiв були чiтко окреcленi в УгодГ про капiтал, що згодом отримала назву Базель I, у 1988 р. Подальший розвиток банюв-сько! системи cвiтy зумовив необхкшсть удоскона-лення дано! Угоди, тому у 2005 р. була оприлюднена «Мiжнародна конвергенцiя вимiрювання капiталy та стандарпв капiталy: новi шдходи» [4], в^ома як Базель II. Вже у 2010 р. був прийнятий Базель III, який мктив певш доповнення до попередшх частин, вод-ночас не вiдмiняючи !х дiю [5]. Вiдповiдно до класифкаци, яка наведена в базельських Угодах, видкено такi групи ризишв (рис. 1).
З метою здшснення банкiвcького нагляду Нащ-ональний банк на оcновi тверджень, запроваджених Базельським компотом, видiлив дев'ять категорiй ризику, а саме: кредитний ризик, ризик лкв^нос-ri, ризик змiни процентно! ставки, ринковий ризик, валютний ризик, операцшно-технолопчний ризик, ризик репутаци, юридичний та стратепчний ризики [2]. При цьому кожна з цих категорш мае вкповкш пiдкатегорГi, якi можуть дшти cамоcтiйно, завдаючи збиткiв фшансовш оргашзаци (рис. 2).
Клаcифiкацiя, розглянута на рис. 1 i рис. 2, не е оптимальною, осккьки в процеа свого icнyвання та активного впливу з боку як суспкьства, так i науково-технолоичного прогресу, банкiвcькi установи пгд-
Рис. 1. Класифшащя ризимв банмвськоУ дiяльностi Джерело: авторська розробка на ochobî [4; 5; 10, c. 166].
даються впливу все бкьшо'1 ккькоси р1зноман1тних ризик1в.
Як видно з рис. 2, одшею з найбкьших груп ри-зик1в е операцшно-технолопчш В1дпов1дно до визначення Базельського ком1тету операц1йний ризик - це ризик збиткш у результат! неадекватних або невдалих внутр1шн1х процеав, людей i систем або зовншшх по-дш. Це визначення включае юридичний ризик, але ви-ключае стратепчний ризик i ризик репутаци [3, с. 34]. В1дпов1дно, головш складов! групи операцшного ризику в м1жнародному та нацюнальному тлумаченш в1д-р1зняються. Це також стосуеться базових складових, що в1днесеш до ще'1 групи: 1) процеси; 2) людський фактор; 3) системи/технологи'; 4) зовншш подй' [9].
На операц1йно-технолог1чн1 ризики д1яльно-ст1 зд1йснюють вплив певш фактори. ïх склад може бути змшений залежно в1д потреб i цкей фшансово-го анал1зу. На основ1 даних пост1йно дгочо!' системи внутршнього контролю ризик1в забезпечуеться визначення сукупно'1 оц1нки та створюються умови для подальшого прийняття ефективних управлшських ршень. Загальний перел1к фактор1в, на основ1 яких може бути визначений р1вень операцшно-техноло-г1чного ризику, наведено на рис. 3.
Зрозвитком науково-технолопчного прогресу та
комп'ютерних технологш зростае ймов1рн1сть
виникнення загроз абсолютно нового типу. Ц1 загрози на поточний момент в1дносять до групи опе-рац1йно-технолог1чних ризик1в, хоча негативш фактори безпосередньо пов'язан1 з шформацшною, ште-лектуальною та штерактивною безпекою фшансово!' оргашзацИ та потребують виокремлення в окрему категорго. Це необх1дно, оск1льки в1дстеження, конт-
роль та усунення шбернетичних ризик1в вимагають запровадження ряду нових метод1в по збереженню фшансово'1 ст1йкост1 банку.
На сьогодншнш день виокремлюють таи базо-в1 складов1 системи контрою над операцшно-техно-лог1чними ризиками:
f пол1тику контролю за операцшно-техноло-
г1чним ризиком; f процедури й засоби контролю за операцшно-технолопчним ризиком (дотримання обль ково'1 пол1тики, особливост1 функцюнування 1нформац1йних систем, програми управл1ння тощо);
f технолопчш схеми продукт1в та послуг банку; f розгалужешсть 1нфраструктури банку; f запровадження д1ево'1 системи внутршнього
контролю та шформацшно'1 безпеки банку; f забезпечення надшного позаоф1сного зберь гання вс1х важливих резервних докуменпв i файл1в банку.
О. Криклш також вкзначае, що у зв'язку з по-чатковою стад1ею штеграцИ концепци' управл1ння операц1йними ризиками в украшську банк1вську систему етап кентифкаци'/збору шформацИ про ризики е нараз1 чи не основним реал1зованим етапом управ-л1ння ними [9].
Для подолання та попередження можливих ю-бернетичних загроз у баншвськш установ1 мае бути створений вкдк, що безпосередньо займаеться ш-формацшною безпекою установи. Ц1л1 шформацшно'1 безпеки - встановлення в1дпов1дних функц1й та р1в-н1в безпеки, певних вимог до внутршшх i зовн1шн1х комушкацш орган1зацй' тощо. Актуальн1сть шформа-цшно'1 безпеки про1люстровано в табл. 1, яка в1до-
Рис 2. Кла^фшащя pизикiв баныв^коУ дiяльнocтi у вiдпoвiднocтi до тлумачення НБУ Джерело: авторська розробка на ochobí [2; 14].
Рис. 3. Фактори, як безпосередньо впливають на групу опеpацiйно-технологiчних pизикiв Джерело: авторська розробка на ochobî [13].
бражае зростання юлькосй в1русних атак, здшснених протягом останн1х рок1в.
Головними принципами забезпечення безпеки йберсередовища е таи:
f f
середовище, в якому д1е банк, е ворожим; п1дтримання постшно!' ешелоновано'1 оборони 1нформац1йних систем (включае ф1зичну без-пеку, велику ккьюсть точок доступу; аналь тичн1 ПО; багатостушнчату систему безпеки); 1золяц1я окремих елеменпв системи в1д ма-сового доступу;
збереження, резервування та накопичення шторичних даних;
систематичний анал1з та перев1рка основних мкць ураження. Метою проведення систематичного анал1зу та перев1рки основних мкць ураження е пошук та оцш-
f
f
f
ка вс1х в1домих слабких мкць 1нформац1йних систем установи. Ц1 заходи шдтримують та актуал1зують програмне забезпечення задля виявлення нетипових явищ у систем!, незвичайно'1 мережево'1 активност1 (вх1д у систему «не в той час», дц з незрозум1лою кш-цевою метою), внутр1шн1 зм1ни (перевантаження мереж!, змши в репстрах та 1менах користувач1в тощо), попередження штервенци' в мережу тощо. У результат! стае можливим отримання перелку найб1льш уразливих м1сць, як1 першими можуть постраждати в раз1 дй' операц1йно-технолог1чного ризику.
Г'
сб
оловними видами контролю програмного за-безпечення та шформацшних систем баншв-сько'1 установи е: мон1торинг; розпод1л повнова-жень м1ж адм1н1страторами; управл1ння ризиковими точками; створення резервних (офлайн) копш; ство-
Таблиця 1
Динамiка мбератак, якi були здiйсненi в Укpаïнi протягом 2014-2017 рр.
PiK Назва вipусу Пеpiод здiйснення атаки Об'ект ураження
2014 DDOS 26.05.2014 р. Вибори Президента Украши
2015 BlackEnergy 15.12.2015 р. Прикарпаття обленерго
2016 APT 02.-06.2016 р. SWIFT-Банки
17.12.2016 р. Укренерго
2017 WannaCry 12.05.2017 р. В1руси масового ураження
XData 18.05.2017 р.
Petya / Nyetya 27.06.2017 р.
BadRabbit 24.10.2017 р. П1дприемства транспортноТ галуз1
рення дieвоI оргашзацшно1 структури; запроваджен-ня новггшх систем шифрування; ведення в^пов^дно-го документообiгу.
Як додатковi засоби безпеки шформацшних систем банку, якщо неможливе застосування паролiв або певного програмного забезпечення, використо-вують засоби додаткового контролю: бкий список процеав; виключення з домену; захист на системному рiвнi; контроль штернет-трафжу; ручний контроль операцiй «входу/виходу».
Залежно вiд мети та рiвня складностi юберата-ки подiляються на чотири основш види: тi, що здш-снюються дилетантами, хакерами, шсайдерами та АСД (атаки, спровокованi державою) (рис. 4).
ризиком, сукупний ризик i напрям ризику. Для ефек-тивного використання системи оцшки ризиюв нагля-довцi мають враховувати як поточний стан банку, так i фактори, як можуть вказувати на зростання ризи-кiв. Згiдно iз системою оцiнки ризикiв iснуe чотири основш компоненти визначення параметрiв ризику банку: ккьшсть ризику, тобто рiвень або обсяг ризику; яшсть управлiння ризиком; сукупний ризик; напрям ризику, тобто ймовiрна змша сукупного рiвня ризику протягом наступних 12 мшящв [2].
НБУ, о^м перелiку вiдповiдних факторiв опе-рацшно-технолопчного ризику, також надае перелiк ккьшсних параметрiв, за допомогою яких визнача-еться його обсяг.
Неквал1ф1коваы атаки (дилетанти) -вражаються слабо захищен системи, що пщключеы до 1нтернету Високотехнолопчы атаки (хакери) -вражаються системи, що пщключеы до 1нтернету та мають важливу ¡нформафю Корпоративний шпюнаж (¡нсайдери) -ризик витоку ¡нформацп через дм штатного/колишнього ствроб1тника банку Атаки, спровоковаы державою (АСД), -через зацкавлеысть у д1яльносп особи/компанп
1=1 и < Шпюнаж на замовлення —- спецслужб
1нсайдери Особиста вигода ^^
и р е Грош1 ^^
ак X
^ Розвага, ^^ га експеримент, ^ особиста помста (шкщництво)
Мета та р1вень складност атак
Рис. 4. Класифшащя атак залежно вiд рiвня складностi
У результатi ураження системи атакою з вико-ристанням юбернетичних технологiй можливi такi насл^ки: крадiжка особистих даних i кошпв; крадiж-ка особистих даних i коштiв клiентiв; шантаж; ураження та паралiзування роботи системи; втрата фь нансових коштiв та репутаци; втрата сервiсу або його можлива деградащя; санкци з боку держави.
У загальному виглядi кiбератаки мають таю етапи: розв^дка; первинне зараження та проникнен-ня; закрiплення; отримання прав доступу; внутршня розвiдка та просування; досягнення цш атаки; зни-щення слiдiв зламу.
Для шести категорш банкiвського ризику - кредитного ризику, ризику лшвкносп, ризику змши процентно1 ставки, ринкового ризику, валютного ризику та операцшно-технолопчного ризику - нагля-довцi оцшюють кiлькiсть ризику, якiсть управлiння
11.06.2018 р. НБУ була прийнята Постанова № 64 «Про затвердження Положення про оргашзацш системи управлшня ризиками в банках Укра'ши та баншвських групах», вiдповiдно до якого баншвськ установи Украiнi зобов'язанi у в^повкш термiни за-провадити систему управлшня ризиками, яка вкпо-вiдала б вимогам Постанови.
Банк оргашзовуе систему управлшня ризиками, яка грунтуеться на розподш обов'язкiв мiж пiдроздiлами банку iз застосуванням моделi трьох лшш захисту:
1) перша лiнiя - на рiвнi бiзнес-пiдроздiлiв банку та шдроздшв пiдтримки дiяльностi банку. Щ пiдроздiли приймають ризики та несуть вкповкаль-нiсть за них, а також подають звiти щодо поточного управлшня такими ризиками;
2) друга лжя - на рiвнi шдроздку з управлш-ня ризиками та шдроздку контролю за дотриманням норм (комплаенс);
3) третя лжя - на рiвнi шдроздку внутрш-нього аудиту щодо перевiрки та оцшки ефективностi функцiонування системи управлшня ризиками.
Система управлiння ризиками банку щонай-менше мае передбачати:
1) органiзацiйну структуру з читами обов'яз-ками та повноваженнями;
2) культуру управлшня ризиками та кодекс по-ведшки (етики);
3) внутрiшньобанкiвськi документи з питань управлшня ризиками;
4) шформацшну систему щодо управлшня ризиками та звиування;
5) шструменти для ефективного управлшня ризиками [1].
Одшею з базових функцш шдроздку управлш-ня ризиками е проведення стрес-тестування. У процесi аналiзу фшансового стану банкш-сько! установи стрес-тестування е одним з провкних методiв для оцiнки реальних операцшно-технолопч-них ризишв дiяльностi (рис. 5).
Рис. 5. Види ризимв, що аналiзуються з використанням
методу стрес-тестування Джерело: авторська розробка на основi [5, с. 50; 7, с. 248].
Метою проведення стрес-тестування е ккькк-на та яккна оцшка ризишв, удосконалення системи внутрiшнього контролю та визначення спроможнос-тi банкiвськоi установи протистояти потрясшням на фiнансовому ринку, що можуть виникнути в майбут-ньому. Етапами для проведення стрес-тестування е:
1) кентифкащя - класифкащя за класом ви-никнення (Кредитний/ Ринковий/ Операцшний/Лк-вiдностi/Комплаенс);
2) аналiз та оцiнка якiсна/кiлькiсна;
3) запланований комплекс заходiв щодо управлшня ризиками.
На рис. 6 воображено головнi рiзновиди стрес-тестiв, як використовуються при проведеннi аналiзу баншвсько! установи. Кожний з цех видiв мають сво! переваги та недолки.
Найб1льш поширеними методами здiйснення агрегованого стрес-тестування е сценарний аналiз (сценарiй) i аналiз чутливостi (чутли-вiсть). 1снуе декiлька видiв сценарив: базовий сце-нарiй (у рамках найбкьш iмовiрних змiн факторiв ризику); негативний сценарш розвитку (в рамках за-даних змiн факторiв ризику, як вiдповiдають досить iмовiрним подiям; максимально негативний сценарiй розвитку (в рамках одночасно! змiни ряду факторiв ризику, якi вiдповiдають настанню екстремальних, але разом з тим iмовiрних подш.
Ефективнiсть сценарного аналiзу залежить вк професiоналiзму та пiдготовки експерпв. Експертнi припущення та судження е неформалiзованими, од-нак дуже вагомими складовими сценарго. У зв'язку з багатограншстю та складнiстю економiчних про-цесiв спецiалiсти змушенi оперувати загальними за-кономiрностями та тенденцiями з урахуванням што-ричних взаемозв'язкiв i спиратися на власнi спосте-реження та досвк.
Стрес-тестування може базуватися на кторич-них сценар1ях з використанням варiантiв подiй, що мали мкце в минулому, або на гшотетичних сцена-р1ях, з використанням варiантiв подiй, якi не вкбу-валися, але теоретично можуть статися. За наявносп певного ряду кторичних даних можна розрахувати вiрогiдний дiапазон можливих змiн за допомогою методу математично! статистики. Якщо iсторичних даних немае, то ймовiрнiсть змiн доцкьно визначати гiпотетично.
Приклади факторiв, яш можуть вимагати ко-ригування шторичних сценар11в, включають в себе: 1) демографiчнi змiни/мiграцiя/емiграцiя; 2) новi технологи, наприклад комп'ютери та 1нтернет; 3) глоба-лiзацiя/бiльш тiсно пов'язаш фiнансовi ринки; 4) новi класи активiв; 5) використання рiзних пiдходiв до оцiнки; 6) вплив ЗМ1 на полiтику; 7) змiни кон'юнктур ринкового та законодавчого секторiв.
Даш по економiчних кризах, що в^булися в минулому, необхiдно коригувати та адаптувати до умов сьогодення, осккьки вони ркко повторюються в тому вигляд^ у якому траплялися ранiше. Вибiр сценар11в залежить вк багатьох факторiв та мае враховувати взаемозв'язок мiж iсторичною подiею та конкретною баншвською установою.
Якщо кторичш сценарГ! не можуть врахувати певних факторiв ризику, то доцГльно використову-вати гiпотетичнi сценарй. Перевагами такого виду сценарив е можливосп гнучюшого формулювання можливих криз.
Рис. 6. Види стрес-теслв та Ух основнi недолiки
Джерело: складено за [11, с. 190-191].
Переваги стрес-тестування: передбачае ткьки суттевi змiни факторiв; пiд час розрахунку результа-тивних показнишв ураховуеться бiльшiсть базових факторiв ризику; дозволяюе отримати правдоподiб-ш, на думку експертiв, прогнозованi поди iз заданою ймовiрнiстю 1х виникнення; забезпечуе можливкть визначення найгiршого сценарго розвитку подiй; установлюе розмiр можливих збитшв у випадку ре-алiзацii найгiршого сценарiю; виявляе вразливi та слабю мiсця в системi захисту вк ризикiв; дае мож-лившть керiвництву оперативно втручатись у проце-си, якi загрожують банку.
Базовими етапами для проведення стрес-тесту-вання е:
1) Актуалiзацiя параметрiв для стрес-тестування.
2) Розроблення моделi стрес-тестування шляхом визначення основних факторiв ризику та резуль-тативних показникiв i критерив.
3) Проведення стрес-тестування.
4) Трактування результапв i пiдготовка висно-вшв щодо проведеного стрес-тестування.
Урезультатi проведеного аналiзу управлшсько-му персоналу банку надаеться зви1 про резуль-тати стрес-тестування: професшне (мотиво-ване) судження, що мiстить оцiнку впливу можливо! реалiзацii ризикiв на дiяльнiсть банку. Результати стрес-тестування дозволяють спещалштам порiвню-вати вплив рiзних факторiв ризику, визначати важли-
вiсть рiзних видiв сценарив та робити оцiнку впливу рiзних чинникiв на дiяльнiсть банку.
Стрес-тести надають шформащю про змши характеру факторiв ризику та ступеня 1х впливу протя-гом певного часу за умови 1х регулярного проведення.
Аналiз результатiв стрес-тестування е важли-вим не ткьки з точки зору визначення запасу фь нансово! стiйкостi банку, а i з огляду на практичну можлившть спостереження та контролю рiвня ризи-кiв (особливо операцiйно-технологiчного), яю нара-жають банк на небезпеку, та кентифшаци найб1льш серйозних загроз.
Здшснення оцiнки якостi та адекватност систе-ми стрес-тестування е необх^дною умовою практичного використання результапв, отриманих за допо-могою стрес-тестування (рис. 7).
В^дповкно до рис. 7 стае можливим вщбрати найбкьш дiевий метод стрес-тестування як для окре-мо! банкiвськоi установи, так i для групи банкiв у щ-лому. Операцiйно-технологiчнi ризики в бкьшосп випадкiв оцiнюють разом з шшими факторами впливу, ощнюючи !х взаемну кореляцiю та можливi втра-ти вiд настання пе! чи iншоI поди. Але, застосовуючи такий рiзновид стрес-тестування, як кторичний чи гiпотетичний методи, iснуе значна ймовiрнiсть недо-оцiнки загрози з боку шбернетичних ризикiв. Тому необхкно розробити та оновити iснуючi методоло-гiчнi пiдходи до оцiнки банку зi збiльшенням акценту на оцшщ групи операцiйно-технологiчних ризикiв дiяльностi в розрiзi цифрових загроз. А також запро-
• забезпечуе можливкть визначення Hariprnoro сценр1ю розвитку пoдiй;
I
• установляюе po3Mip можливих збиткiв у випадку pеaлiзaцiï нaйripшoro сценapiю;
• виявляе вpaзливi Ta слaбкi мкця в систе!^ зaхисту вiд pизикiв;
• дaе мoжливiсть кеpiвництву oпеpaтивнo втpучaтись у пpoцеси, якi зarpoжують бaнку, визнaчaти, opraнiзoвувaти тa впpoвaджувaти гамплекс неoбхiдних зaхoдiв, спpямoвaних нa зменшення впливу pизикiв тa уникнення ф^нгавих втpaт
{ \ СИСТЕМУ СТРЕС-ТЕСТУВАННЯ МОЖНА
ВВАЖАТИ ЕФЕКТИВНОЮ, якщо вона:
Рис. 7. Базовi аспекти ефективност системи стрес-тестування
вадити систематичну оцшку операцшно-технолопч-ного ризику на основ1 стрес-тестування.
ВИСНОВКИ
На основ1 описаного вище варто зазначити, що в1д стаб1льност1 окремо'1 банювсько'1 установи залежить ефектившсть функц1онування банк1вського сектора краши в ц1лому. Специф1чн1сть банк1всько'1 д1яльност1 зумовлюе виникнення р1зноман1тних ри-зик1в, як1 пов'язан1 з д1ею р1зноман1тних зовн1шн1х i внутр1шн1х фактор1в.
Одн1ею з найб1льш широких i впливових груп ризишв е група операцшно-технолопчних ризик1в. Але одна з чотирьох складових, яка включае в себе загрози технолог1чного, йбернетичного та шформа-ц1йного характеру, потребуе виокремлення в окрему групу, осюльки стр1мкий розвиток сучасних юберне-тичних технологш зумовлюють стр1мкий розвиток новпшх фактор1в ризику.
Для детермшацц загроз з боку юбернетично'1 складово'1 операцшно-технолопчних ризиюв одним 1з найд1ев1ших метод1в е стрес-тестування банк1в. Але для отримання найбкьш достов1рного прогнозу необ-х1дно пристосувати 1снуюч1 засоби стрес-тестування для ефективного анал1зу цифрових загроз. ■
Л1ТЕРАТУРА
1. Постанова Правлшня Нацюнального банку УкраТ-ни «Про затвердження Положення про оргашзац1ю системи управлшня ризиками в банках УкраТни та баншських групах» вщ 11.06.2018 р. № 64. URL: https://bank.gov.ua/ document/download?docId=71600453
2. Постанова Правлшня Нацюнального банку УкраТни «Методичн вказ1вки з ¡нспектування банк1в «Система оцшки ризиш» в1д 15.03.2004 р. № 104 (з1 змшами та доповнення-ми). URL: http://zakon3.rada.gov.ua/laws/show/v0104500-04
3. Методолопчш роз'яснення до Основних принцитв ефективного баншського нагляду / Базельський ком1тет з питань баншського нагляду. Базель, 2006. 66 c. URL: https:// www.bank.gov.ua/doccatalog/document?id=45064
4. Международная конвергенция измерения капитала и стандартов капитала: Уточненные рамочные подходы // Банк международных расчетов. Июнь 2004. 262 с. URL: http://safbd.ru/sites/default/files/basel.pdf
5. Basel III: A global regulatory framework for more resilient banks and banking systems. December 2010. URL: https://www.bis.org/publ/bcbs189_dec2010.pdf
6. Волков Д. П. Аналiз баншських ризиш: основы пщходи до визначення. EKOHOMi4Hi науки. Cepin: Облiк i фь нанси. 2013. Вип. 10 (3). С. 131-139.
7. Дантова Л. I., Савочка В. В. Стрес-тестування в ^^Mi ризик-менеджменту банку. Економiчний аналiз. 2014. Т. 15 (1). С. 244-252.
8. Кадшчанська В. М., Торяник Ж. I., Зорянський В. А. Баншськ ризики в контекст стмко! дiяльностi баншських установ. BicHUK YHiBepcumemy бан^всько!справи. 2015. № 2. С. 70-75.
9. Криклш О., Крухмаль О. 1нструментарм оцшки операцмного ризику банку. Економiчний аналiз. 2011. № 1 (9). С. 168-172.
10. Люта О. В., Школьник I. О. Базель II: основы скла-довi та !х характеристика. Проблеми i перспективи розвитку банювсько! системи Укра'(ни.2008. Т. 20. С. 165-171.
11. Манжос С. Б. Стрес-тестування банш: огляд мето-долопй. Финансы, учет, банки. 2014. Вып. 1. С. 188-195.
12. Параай-Вергуненко I. М. Анaлiз баншсько! ди яльност : навч.-метод. поаб. Ки!в : КНЕУ, 2003. 347 с.
13. Параай-Вергуненко I. М., Заднепровська С. П. Обл^, aнaлiз та аудит операцм з плалжними картами в баншських установах : моногрaфiя. Ки!в : КНЕУ, 2016. 304 с.
14. Офщмне штернет-представництво Нацюнального банку Укра!ни. URL: https://bank.gov.ua/control/uk/publish/ article ?art_id=123614
Науковий кер1вник - Парас1й-Вергуненко I. М., доктор еконо-мiчних наук, професор кафедри облiку в кредитних i бюджетних установах та економiчного aнaлiзу, факультет облiку та податко-вого менеджменту, ДВНЗ «Ки!вський нaцiонaльний економiчний унiверситет iменi Вадима Гетьмана»
REFERENCES
"Basel III: A global regulatory framework for more resilient banks and banking systems. December 2010". https:// www.bis.org/publ/bcbs189_dec2010.pdf
Danilova, L. I., and Savochka, V. V. "Stres-testuvannia v systemi ryzyk-menedzhmentu banku" [Stress testing in the system of risk management of the bank]. Ekonomichnyi analiz. Vol. 15 (1) (2014): 244-252.
Kadnichanska, V. M., Torianyk, Zh. I., and Zorianskyi, V. A. "Bankivski ryzyky v konteksti stiikoi diialnosti bankivskykh ustanov" [Banking Risks in the Context of Sustainable Activities of Banking Institutions]. Visnyk Universytetu bankivskoi spravy, no. 2 (2015): 70-75.
Kryklii, O., and Krukhmal, O. "Instrumental otsinky oper-atsiinoho ryzyku banku" [Instruments for assessing operational risk of a bank]. Ekonomichnyi analiz, no. 1 (9) (2011): 168-172.
[Legal Act of Ukraine] (2004). http://zakon3.rada.gov.ua/ laws/show/v0104500-04
[Legal Act of Ukraine] (2018). https://bank.gov.ua/docu-ment/download?docId=71600453
Liuta, O. V., and Shkolnyk, I. O. "Bazel II: osnovni skladovi ta yikh kharakterystyka" [Basel II: The main components and their characteristics]. Problemy i perspektyvy rozvytku bankivskoi systemy Ukrainy. Vol. 20 (2008): 165-171.
"Metodolohichni roziasnennia do Osnovnykh pryntsypiv efektyvnoho bankivskoho nahliadu" [Methodological Explanations to the Basic Principles of Effective Banking Supervision].
Bazelskyi komitet z pytan bankivskoho nahliadu. 2006. https:// www.bank.gov.ua/doccatalog/document?id=45064
"Mezhdunarodnaya konvergentsiya izmereniya kapitala i standartov kapitala: Utochnennyye ramochnyye podkhody" [International convergence of capital measurement and capital standards: Refined framework approaches]. Bank mezhdu-narodnykh raschetov. http://safbd.ru/sites/default/files/basel.pdf Manzhos, S. B. "Stres-testuvannia bankiv: ohliad metodolohii" [Stress testing of banks: an overview of methodologies]. Fynansy, uchet, banky, no. 1 (2014): 188-195.
Ofitsiinyi sait Natsionalnoho banku Ukrainy. https:// bank.gov.ua/control/uk/publish/article?art_id=123614
Parasii-Verhunenko, I. M. Analiz bankivskoi diialnosti [Banking analysis]. Kyiv: KNEU, 2003.
Volkov, D. P. "Analiz bankivskykh ryzykiv: osnovni pidk-hody do vyznachennia" [Banking Risk Analysis: Basic Approaches to Definition]. Ekonomichninauky. Ser.: Obliki finansy, no. 10 (3) (2013): 131-139.
Zadneprovska (Polishchuk), S. P., and Parasii-Verhunen-ko, I. M. Oblik, analiz ta audyt operatsii z platizhnymy kartamy v bankivskykh ustanovakh [Accounting, analysis and audit of operations with payment cards in banking institutions]. Kyiv: KNEU, 2016.
<
S
u
306 BI3HECIHQOPM № 6 '2018
www.business-inform.net