Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності
Розглянуто основні види інформаційних ризиків, проаналізовано основні інформаційні загрози, що зустрічаються у банківській діяльності. На прикладі аналізу характеристик юридичних осіб-позичальників банку з використанням мереж Байєса було визначено причинно-наслідкові зв’язки між показниками фінансов...
Saved in:
| Published in: | Системні дослідження та інформаційні технології |
|---|---|
| Date: | 2014 |
| Main Author: | |
| Format: | Article |
| Language: | Ukrainian |
| Published: |
Навчально-науковий комплекс "Інститут прикладного системного аналізу" НТУУ "КПІ" МОН та НАН України
2014
|
| Subjects: | |
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/85456 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності / Н.В. Кузнєцова // Системні дослідження та інформаційні технології. — 2014. — № 1. — С. 7-19. — Бібліогр.: 12 назв. — укр. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
nasplib_isofts_kiev_ua-123456789-85456 |
|---|---|
| record_format |
dspace |
| spelling |
Кузнєцова, Н.В. 2015-08-06T15:37:17Z 2015-08-06T15:37:17Z 2014 Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності / Н.В. Кузнєцова // Системні дослідження та інформаційні технології. — 2014. — № 1. — С. 7-19. — Бібліогр.: 12 назв. — укр. 1681–6048 https://nasplib.isofts.kiev.ua/handle/123456789/85456 004.9:519.226 Розглянуто основні види інформаційних ризиків, проаналізовано основні інформаційні загрози, що зустрічаються у банківській діяльності. На прикладі аналізу характеристик юридичних осіб-позичальників банку з використанням мереж Байєса було визначено причинно-наслідкові зв’язки між показниками фінансової діяльності підприємств, які збираються у фактор-листах, та виявлено ключові з них. Побудована модель мережі Байєса дозволила встановити взаємозв’язок неповернення кредитів з якістю інформаційного ресурсу, зокрема з неповнотою даних позичальника. На основі аналізу моделі було запропоновано засоби мінімізації інформаційних ризиків шляхом коректної обробки пропущених даних з урахуванням причин їх появи. Рассмотрены основные виды информационных рисков, проанализированы основные информационные угрозы, которые встречаются в банковской деятельности. На примере анализа характеристик юридических лиц-заёмщиков банка с использованием сетей Байеса установлены причинно-следственные связи между показателями финансовой деятельности предприятий, которые собираются в фактор-листах, и определены ключевые из них. Построенная модель сети Байеса позволила установить взаимосвязь невозвратов кредитов с качеством информационного ресурса, в частности c неполнотой данных заёмщика. На основе анализа модели предложены способы минимизации информационных рисков путем корректной обработки пропущенных данных с учетом причин их появления. The basic types of informational risks are considered and the basic informational threats, which are faced in banking, are analyzed. On the example of the analysis of legal persons-borrowers of the bank, using Bayesian networks, the cause-and-effect relations between financial activities in factor-lists and key activities were defined. The built Bayesian network model allowed to define the correlation between credit non-returns and the quality of informational resource, particularly with incompleteness data of a borrower. Based on the analysis of the model the approaches to minimize information risks by correctly handle missing data with regard to their origin reasons were proposed. uk Навчально-науковий комплекс "Інститут прикладного системного аналізу" НТУУ "КПІ" МОН та НАН України Системні дослідження та інформаційні технології Проблеми прийняття рішень і управління в економічних, технічних, екологічних і соціальних системах Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності Некоторые аспекты минимизации информационных рисков в банковской деятельности Some points of minimizing informational risks in banking Article published earlier |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| title |
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності |
| spellingShingle |
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності Кузнєцова, Н.В. Проблеми прийняття рішень і управління в економічних, технічних, екологічних і соціальних системах |
| title_short |
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності |
| title_full |
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності |
| title_fullStr |
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності |
| title_full_unstemmed |
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності |
| title_sort |
деякі аспекти мінімізації інформаційних ризиків у банківській діяльності |
| author |
Кузнєцова, Н.В. |
| author_facet |
Кузнєцова, Н.В. |
| topic |
Проблеми прийняття рішень і управління в економічних, технічних, екологічних і соціальних системах |
| topic_facet |
Проблеми прийняття рішень і управління в економічних, технічних, екологічних і соціальних системах |
| publishDate |
2014 |
| language |
Ukrainian |
| container_title |
Системні дослідження та інформаційні технології |
| publisher |
Навчально-науковий комплекс "Інститут прикладного системного аналізу" НТУУ "КПІ" МОН та НАН України |
| format |
Article |
| title_alt |
Некоторые аспекты минимизации информационных рисков в банковской деятельности Some points of minimizing informational risks in banking |
| description |
Розглянуто основні види інформаційних ризиків, проаналізовано основні інформаційні загрози, що зустрічаються у банківській діяльності. На прикладі аналізу характеристик юридичних осіб-позичальників банку з використанням мереж Байєса було визначено причинно-наслідкові зв’язки між показниками фінансової діяльності підприємств, які збираються у фактор-листах, та виявлено ключові з них. Побудована модель мережі Байєса дозволила встановити взаємозв’язок неповернення кредитів з якістю інформаційного ресурсу, зокрема з неповнотою даних позичальника. На основі аналізу моделі було запропоновано засоби мінімізації інформаційних ризиків шляхом коректної обробки пропущених даних з урахуванням причин їх появи.
Рассмотрены основные виды информационных рисков, проанализированы основные информационные угрозы, которые встречаются в банковской деятельности. На примере анализа характеристик юридических лиц-заёмщиков банка с использованием сетей Байеса установлены причинно-следственные связи между показателями финансовой деятельности предприятий, которые собираются в фактор-листах, и определены ключевые из них. Построенная модель сети Байеса позволила установить взаимосвязь невозвратов кредитов с качеством информационного ресурса, в частности c неполнотой данных заёмщика. На основе анализа модели предложены способы минимизации информационных рисков путем корректной обработки пропущенных данных с учетом причин их появления.
The basic types of informational risks are considered and the basic informational threats, which are faced in banking, are analyzed. On the example of the analysis of legal persons-borrowers of the bank, using Bayesian networks, the cause-and-effect relations between financial activities in factor-lists and key activities were defined. The built Bayesian network model allowed to define the correlation between credit non-returns and the quality of informational resource, particularly with incompleteness data of a borrower. Based on the analysis of the model the approaches to minimize information risks by correctly handle missing data with regard to their origin reasons were proposed.
|
| issn |
1681–6048 |
| url |
https://nasplib.isofts.kiev.ua/handle/123456789/85456 |
| citation_txt |
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності / Н.В. Кузнєцова // Системні дослідження та інформаційні технології. — 2014. — № 1. — С. 7-19. — Бібліогр.: 12 назв. — укр. |
| work_keys_str_mv |
AT kuznêcovanv deâkíaspektimínímízacííínformacíinihrizikívubankívsʹkíidíâlʹností AT kuznêcovanv nekotoryeaspektyminimizaciiinformacionnyhriskovvbankovskoideâtelʹnosti AT kuznêcovanv somepointsofminimizinginformationalrisksinbanking |
| first_indexed |
2025-11-26T15:10:35Z |
| last_indexed |
2025-11-26T15:10:35Z |
| _version_ |
1850625844517535744 |
| fulltext |
© Н.В. Кузнєцова, 2014
Системні дослідження та інформаційні технології, 2014, № 1 7
TIДC
ПРОБЛЕМИ ПРИЙНЯТТЯ РІШЕНЬ І
УПРАВЛІННЯ В ЕКОНОМІЧНИХ, ТЕХНІЧНИХ,
ЕКОЛОГІЧНИХ І СОЦІАЛЬНИХ СИСТЕМАХ
УДК 004.9:519.226
ДЕЯКІ АСПЕКТИ МІНІМІЗАЦІЇ ІНФОРМАЦІЙНИХ РИЗИКІВ
У БАНКІВСЬКІЙ ДІЯЛЬНОСТІ
Н.В. КУЗНЄЦОВА
Розглянуто основні види інформаційних ризиків, проаналізовано основні ін-
формаційні загрози, що зустрічаються у банківській діяльності. На прикладі
аналізу характеристик юридичних осіб-позичальників банку з використанням
мереж Байєса було визначено причинно-наслідкові зв’язки між показниками
фінансової діяльності підприємств, які збираються у фактор-листах, та виявле-
но ключові з них. Побудована модель мережі Байєса дозволила встановити
взаємозв’язок неповернення кредитів з якістю інформаційного ресурсу, зокре-
ма з неповнотою даних позичальника. На основі аналізу моделі було запропо-
новано засоби мінімізації інформаційних ризиків шляхом коректної обробки
пропущених даних з урахуванням причин їх появи.
ВСТУП
Сьогодні роль і місце компанії на ринку значною мірою визначається вмін-
ням опрацьовувати різноманітну інформацію для забезпечення своєї діяль-
ності та захищати свою ділову, комерційну, технологічну інформацію. Особ-
ливо це стосується банківської сфери, оскільки сучасна діяльність банків
переважно здійснюється в інформаційній площині (інформаційне забезпе-
чення платіжних систем банків; інформаційно-аналітичні дослідження клієн-
тів, партнерів, працівників; маркетингові дослідження ринку та реклама бан-
ківських послуг; обов’язок зберігати банківську таємницю тощо), а банки
є об’єктами інформаційних загроз і впливу інформаційних ризиків.
Проблемам аналізу та мінімізації ризиків присвячено роботи [1, 2], особ-
ливості інформаційних ризиків розглянуто у [3–7], але у цій роботі буде
приділено увагу мінімізації інформаційних ризиків, притаманних саме бан-
ківській діяльності та пов’язаних із неповнотою інформації щодо клієнтів
банку.
Мета роботи — висвітлення основних особливостей інформаційних
ризиків та загроз. На прикладі аналізу діяльності банку розглянуто основні
засоби та заходи, спрямовані на мінімізацію інформаційних ризиків, захист
та збереження конфіденційності даних клієнтів і банківських операцій.
На основі проведеного аналізу інформаційних ризиків щодо неповноти
інформації про клієнтів банку і визначення, як це може впливати на ризик
неповернення позики такими клієнтами, запропонувати заходи щодо мінімі-
зації інформаційних ризиків різної природи.
Н.В. Кузнєцова
ISSN 1681–6048 System Research & Information Technologies, 2014, № 1 8
ІНФОРМАЦІЙНІ РИЗИКИ: АНАЛІЗ, ОЦІНКА, МІНІМІЗАЦІЯ
Під інформаційними ризиками прийнято розуміти загрозу виникнення втрат
або збитків у результаті використання інформаційних технологій. Інформа-
ційні ризики тісно пов’язані зі створенням, передачею, збереженням і вико-
ристанням інформації за допомогою електронних носіїв або інших засобів
зв’язку. Якщо причини виникнення інформаційного ризику знаходяться
всередині підприємства, то такі ризики відносять до внутрішніх; зовнішніми
інформаційними ризиками вважають ризики, які виникають внаслідок дії
зовнішніх факторів.
В інформаційних взаємовідносинах підприємств наявні загрози двох
видів: ті, що пов’язані з посяганнями на інформаційні ресурси, та загрози,
які виникають під час формування інформаційного середовища самого під-
приємства.
Основними способами реалізації інформаційних загроз є [6, 7]:
• маніпулювання інформацією (дезінформація, викривлення інформації,
запуск в інформаційне середовище неповної або неправдивої інформації);
• порушення встановленого порядку інформаційного обміну, несанк-
ціонований доступ або необґрунтоване обмеження доступу до інформацій-
них ресурсів, протиправний збір і використання інформації;
• руйнування і використання чужих інформаційних ресурсів;
• інформаційний тероризм (розповсюдження вірусів, встановлення
закладних пристроїв, використання засобів перехоплення інформації,
незаконне використання чи порушення роботи інформаційно-
телекомунікаційних систем, нав’язування фальшивої, оприлюднення комп-
рометуючої інформації тощо).
За чинним законодавством України, інформація є об’єктом права влас-
ності, а також об’єктом володіння, використання та розпорядження. Інфор-
маційні ризики слід розглядати і враховувати як економічні (майнові, вироб-
ничі, фінансові) [3]. Детальну класифікацію інформаційних ризиків
наведено на рис. 1.
Інформаційні ризики за своїм походженням поділяються на три катего-
рії [1]:
• ризики, пов’язані з втратою (витоком, руйнуванням, знищенням) ін-
формації. Особливо небезпечним є ризик втрати такої інформації, як банків-
ська таємниця, або іншої інформації з обмеженим доступом;
• ризики, пов’язані з формуванням інформаційного ресурсу (викорис-
тання неповної, неправдивої інформації, відсутність необхідної інформації,
дезінформація): ризики збору інформації, ризики узагальнення і класифіка-
ції, ризики обробки інформації, ризики представлення;
• ризики, пов’язані з інформаційним впливом на діяльність підпри-
ємств та банків (поширення неправдивої, негативної інформації, інформа-
ційно-психологічний вплив на працівників, клієнтів, інформаційний теро-
ризм).
Процес аналізу ризиків складається з декількох етапів — визначення
видів ризиків, що можуть з’явитися чи уже з’явилися і впливають на діяль-
ність того або іншого підприємства, оцінки їх впливу на діяльність підприєм-
ства та оцінки ймовірної шкоди, що може бути заподіяна внаслідок реаліза-
ції цього ризику.
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності
Системні дослідження та інформаційні технології, 2014, № 1 9
Для управління інформаційними ризиками потрібно ідентифікувати всі
можливі небезпеки, які загрожують інформаційній системі. Найчастіше під
час розрахунку ризиків використовується формула [5, 7]: =×× AROEFAV
,ALE= де AV (Asset Value) — вартість ресурсу; EF (Exposure Factor) — мі-
ра уразливості ресурсу до загрози; ARO (Annual Rate of Occurrence) —
оцінка ймовірності реалізації загрози; ALE (Annual Lost Exposure) —
підсумкові очікувані втрати від конкретної загрози за певний період часу.
Ін
ф
о
р
м
а
ц
ій
н
і
р
и
зи
к
и
За походженням
За якістю
інформаційного
ресурсу
Внутрішні
Зовнішні
Ризики, пов’язані з втратою
інформації
Ризики, пов’язані
з формуванням
інформаційного ресурсу
Ризики, пов’язані
з інформаційним впливом
на діяльність підприємств
та банків
Ризик відсутності
необхідної інформації
Ризик отримання
і використання неповної,
необ’єктивної інформації
За видом
інформаційного
впливу на банк
Ризик втрати іміджу
Ризик конфліктних ситуацій
з власним персоналом,
клієнтами, акціонерами,
державними органами
Ризик блокування
роботи банку шляхом
численних перевірок
його діяльності
Інші види ризиків
Ризик спотворення інформації
(випадкового чи навмисного)
під час обробки
Ризик дезінформації
Рис. 1. Класифікація інформаційних ризиків у банківській діяльності
Н.В. Кузнєцова
ISSN 1681–6048 System Research & Information Technologies, 2014, № 1 10
Вартість ресурсів складається з вартості апаратного забезпечення, про-
грамного забезпечення, інформації. Міра уразливості ресурсу до загрози
(Exposure Factor) показує, наскільки той або інший ресурс уразливий по від-
ношенню до даної загрози. Для якісної оцінки ризиків ця величина ранжу-
ється в діапазоні від 1 до 3, де 1 — мінімальна міра уразливості (слабка дія),
2 — середня (ресурс підлягає відновленню), 3 — максимальна (ресурс вима-
гає повної заміни після реалізації загрози).
Оцінка ймовірності реалізації загрози показує, наскільки ймовірна реа-
лізація певної загрози за певний період часу (як правило, протягом року) і та-
кож ранжується за шкалою від 1 до 3 (низька, середня, висока).
Управління ризиками зводиться до зниження величин високих і серед-
ніх ризиків до значень низьких ризиків, коли стає можливим їх прийняття.
Зниження величини ризику досягається за рахунок зменшення складових
(AV, EF) шляхом вживання певних заходів.
Методика управління ризиками передбачає декілька способів дій. Ри-
зик може бути:
• прийнятий тобто користувач згоден на ризик і пов’язані з ним ви-
трати, тому робота інформаційної системи продовжується у звичайному ре-
жимі;
• скасований — мається на увазі вживання заходів щодо ліквідації
джерела ризику, наприклад видалення із системи програмного забезпечення,
що істотно порушує вимоги інформаційної безпеки;
• знижений, тобто з метою зменшення величини ризику буде вжито
певні заходи;
• переданий, коли компенсацію потенційного збитку покладуть на
страхову компанію або окремі функції будуть передані на аутсорсинг.
ІНФОРМАЦІЙНІ РИЗИКИ У БАНКІВСЬКІЙ ДІЯЛЬНОСТІ
Оскільки у банках зосереджено доволі значні обсяги інформації з обмеже-
ним доступом (банківська, комерційна таємниці, конфіденційна інформа-
ція), а на самі банки в законодавчому порядку покладено захист чужих таєм-
ниць (клієнтів банків), питання аналізу, контролю та мінімізації втрати
інформації для банків є істотними. Головним в аналізі ризиків втрати інфор-
мації є виявлення способів несанкціонованого доступу до інформації банку
та її найуразливіших носіїв.
Система управління інформаційними ризиками у діяльності банків має
включати певні підсистеми, наприклад: підсистему захисту інформації, збо-
ру інформації та інформаційних досліджень, підсистему протидії інформа-
ційному впливу, керуючу підсистему.
Головними завданнями підсистеми захисту інформації банку мають бу-
ти: виявлення інформації, що підлягає захисту, визначення місць зосере-
дження та носіїв такої інформації, визначення можливих способів несанк-
ціонованого доступу до неї, розробка і впровадження організаційних,
правових, технічних, програмних, криптографічних заходів захисту інфор-
мації.
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності
Системні дослідження та інформаційні технології, 2014, № 1 11
Оцінка ризиків втрати інформації у банку передбачає оцінку вартості
інформаційних ресурсів, щодо яких наявний ризик втрати, й оцінку власне
ризику, як імовірності реалізації певної загрози, у даному випадку
пов’язаної з втратою інформації.
Вартість інформації визначається за комерційною цінністю, котра обу-
мовлюється розміром збитків, яких можна зазнати через втрату, та перспек-
тивами вигоди, яку може отримати банк, використовуючи наявну у нього
інформацію, а також — витратами, пов’язаними з виробленням, отриманням
та захистом зазначеної інформації. Цінність банківської таємниці, наприклад,
може бути визначена через обсяги залучених коштів від клієнтів банку, ін-
формацію про комерційну та фінансову діяльність яких зберігає банк.
На оцінку ризику як імовірності реалізації певної загрози щодо від-
повідної інформації впливають такі показники, як цінність, актуальність,
доступність, рівень захисту інформації.
З метою мінімізації ризику втрати інформації банківські установи ма-
ють вживати відповідні заходи, диференціюючи їх відповідно до певних за-
гроз [1, 4]:
• формування правових умов захисту інформації, безпосередньо у бан-
ку, шляхом розробки нормативно-правових документів стосовно захисту
всіх видів інформації (документованої, електронної, а також інформації, яка
існує у вигляді знань працівників банку), якими мають регулюватися взає-
мовідносини банку з його працівниками, клієнтами тощо;
• створення системи захисту інформації, що функціонує в банківській
інформаційній мережі, яка передбачатиме комплекс організаційних, техніч-
них, криптографічних заходів і забезпечить гарантований захист від пося-
гань на електронну інформацію банку;
• забезпечення контролю за носіями інформації, насамперед працівни-
ками банку, стосовно дотримання ними встановленого режиму захисту ін-
формації, своєчасне реагування на всі збої у захисті інформації;
• запровадження надійної системи документообігу (службового та
спеціального діловодства), яка б виключала можливість несанкціонованого
доступу до банківських документів, їх втрати, знищення чи модифікації;
• забезпечення надійної охорони банків з метою виключення можли-
вості несанкціонованого доступу до інформації, виносу документів чи елект-
ронних носіїв інформації.
Аналіз ризиків, що можуть виникати під час формування інформацій-
ного ресурсу банку за умов відсутності необхідного правового регулювання,
свідчить, що найпоширенішими з них можуть бути: ризик відсутності необ-
хідної банку інформації, ризик отримання та використання неповної, не-
об’єктивної інформації, ризик дезінформації.
Ризик відсутності інформації може виникати, коли банку терміново по-
трібна конкретна інформація або коли об’єкти і джерела певної інформації
невідомі, що досить часто відбувається у процесі кредитної діяльності бан-
ків, у ході проведення операцій із пластиковими платіжними засобами,
а також під час прийняття управлінських рішень, передусім у ході фінансо-
вого моніторингу сумнівних операцій та в процесі ідентифікації осіб, щодо
Н.В. Кузнєцова
ISSN 1681–6048 System Research & Information Technologies, 2014, № 1 12
яких є підозра в легалізації («відмиванні») коштів, отриманих незаконним
шляхом.
Відсутність необхідної інформації призводить до прийняття не-
об’єктивних рішень і, як наслідок, неефективних дій на ринку банківських
послуг.
Ризик дезінформації банку стосовно умов, суб’єктів, мети взаємовідно-
син із банком може виникати через загострені взаємовідносини з конкурен-
тами чи недобросовісну поведінку клієнтів.
Оцінка ризиків, пов’язаних із формуванням інформаційного ресурсу,
може визначатися через ціну (вартість) певної банківської операції, щодо
якої здійснюється інформаційне забезпечення, або через обсяги прибутку,
які може отримати банк, прийнявши рішення на основі об’єктивної інфор-
мації. Водночас за обсягами операцій чи прибутків не можна повною мірою
оцінити ризики, пов’язані з формуванням інформаційного ресурсу. За допо-
могою зазначених обсягів вимірюють ризик відсутності інформації. На оцін-
ку інших ризиків суттєво впливатиме якість інформації, якою забезпечуєть-
ся певна операція чи рішення.
Інформаційний вплив
Інформаційний вплив — це використання спеціальних інформаційних техно-
логій з метою формування або зміни поведінки окремих осіб чи груп осіб
стосовно певних подій, об’єктів, діяльності.
Основними видами ризику інформаційного впливу для банку є:
• ризик втрати іміджу на ринку банківських послуг;
• ризик потрапляння у конфліктні ситуації з власним персоналом,
клієнтами, акціонерами, державними органами тощо;
• ризик блокування роботи банку шляхом його численних перевірок.
Ризики інформаційного впливу можуть мати постійний характер, як ре-
зультат певних відносин банків із різними суб’єктами, або формуватись як
результат цілеспрямованої дії певних суб’єктів. В останньому випадку най-
характернішими є інформаційні атаки, коли з різних джерел одночасно або
в невеликий проміжок часу в інформаційне середовище банку засилається
негативна для нього інформація. Найімовірніше, що інформаційні атаки мо-
жуть здійснюватися за умов, коли банк перебуває у стані конфронтації або
конкурентного суперництва чи протиборства з певними суб’єктами ринку
або особами. У цьому випадку виникають вже інші види ризиків — погір-
шення або втрати іміджу, втрати клієнтів, зменшення обсягів операцій, по-
несення збитків.
Для мінімізації інформаційних ризиків впливу вдаються до таких заходів:
• періодичне поширення через різні інформаційні канали позитивної
інформації про банк, оприлюднення його досягнень та активна реклама по-
слуг;
• періодичне інформування інформаційного середовища банку, насам-
перед персоналу, акціонерів та клієнтів про результати його роботи;
• виховання банківського патріотизму в персоналу та акціонерів бан-
ку, пропаганда позитивного іміджу на ринку;
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності
Системні дослідження та інформаційні технології, 2014, № 1 13
• проведення спеціальних інформаційних операцій стосовно зміни
об’єктів інформаційного впливу, дезорієнтації суб’єктів, що вдаються до
заходів впливу, контрпропаганди та попередження компрометації.
Протидія інформаційному тероризму у банківській діяльності
Під ризиком інформаційного тероризму розуміється використання різнома-
нітних інформаційних технологій та продуктів для ураження інформаційних
об’єктів (комп’ютерних мереж та систем, засобів комунікації, електронних
засобів масової інформації), інформаційно-психологічного пригнічення ма-
сової та індивідуальної свідомості людей, соціальних груп на основі форму-
вання страху, високого емоційного напруження в їх поведінці.
Найчастіше в атаках інформаційного тероризму на електронні інфор-
маційні мережі та системи, електронні бази даних застосовуються програмні
засоби (комп’ютерні віруси, програмні закладки тощо), за допомогою яких
терористи можуть модифікувати інформацію, блокувати її рух та доступ до
неї, вилучати її. Атаки можуть здійснюватися з будь-якого місця розташу-
вання терористів, навіть з інших країн.
Під час розробки політики мінімізації цього ризику банки спочатку
мають визначати, наскільки вразливими перед атаками інформаційних теро-
ристів є їх комунікаційні системи та мережі, особливо засоби, мережі та ін-
формація, що обслуговують платіжну систему. Далі необхідно встановити,
які саме ризики інформаційного тероризму найімовірніші для банку (ризик
порушення роботи, руйнування інформаційних мереж і систем банку, вилу-
чення електронної інформації, викрадення коштів, втрата іміджу банку) та
можливі періоди чи обставини, за яких такі ризики найімовірніші.
Визначаються також можливі наслідки інформаційних атак терористів
як з економічної точки зору, так і з погляду іміджу банку, тут формуються
прогнози щодо наслідків (втрата клієнтів, звільнення провідних працівників
банку, втрата інформації з обмеженим доступом, викрадення коштів
із рахунків банку та його клієнтів, руйнування програмного забезпечення
інформаційних систем банку).
Головне завдання полягає в тому, щоб якомога більшою мірою звузити
діапазон варіантів дій терористів і відстежувати найвірогідніші та найнебез-
печніші з них. Банки мають також передбачати свою поведінку в разі здійс-
нення актів тероризму, мати уявлення про способи виживання в умовах ін-
формаційних атак та про методи ліквідації їх наслідків.
ПОВНОТА ІНФОРМАЦІЇ У БАНКІВСЬКІЙ ДІЯЛЬНОСТІ
Одним з основних ризиків банків, пов’язаних з інформацією, є кредитний
ризик. Вагомий вплив на цей ризик має внутрішній інформаційний ризик,
пов’язаний з неповнотою інформації. Розглянемо взаємозв’язок кредитного
(економічного) та інформаційного ризику.
Для оцінювання кредитного ризику і фактичних втрат банку часто на
практиці застосовують IRB-підхід (IRB approach — internal rated based ap-
proach) — оцінки втрат внаслідок дефолтів у рамках підходу на основі внут-
рішніх кредитних рейтингів. Цей підхід дозволяє розробити доволі гнучкі
Н.В. Кузнєцова
ISSN 1681–6048 System Research & Information Technologies, 2014, № 1 14
математичні механізми вимірювання як очікуваних, так і неочікуваних
втрат, та дозволяє оцінювати індивідуальний та портфельний кредитний ри-
зик [2].
Обсяг потенційних втрат у рамках IRB-підходу визначається як:
ii
N
i
i LGDCEPDECL ⋅⋅=∑
=1
, де основними показниками є:
• PD (probability of default — ймовірність дефолту позичальника), що
набуває значення на відрізку [0,1], і чим більше значення приймає ймовір-
ність дефолту, тим більша ймовірність того, що клієнт не поверне кредит;
• CE (credit exposure — експозиція під ризиком) — сума кредитної
заборгованості;
• LGD (loss given default — покриття кредиту заставою) — покриття
кредиту приймає значення від 0 (кредит повністю покритий заставою) до
одиниці (кредит повністю не покритий заставою);
• N — кількість позичальників в портфелі.
Найбільш корисним показником є ймовірність дефолту. Ймовірність
дефолту у час 0=t визначається як ймовірність того, що клієнт перейде
у стан дефолту за час 10 ≤< t (року). Це означає, що лише клієнти, які ще не
знаходяться у стані дефолту при ,0=t отримують певну визначену для них
ймовірність дефолту.
Дослідження оцінки кредитного ризику ведуться саме у напрямі розроб-
ки механізму розрахунку ймовірності дефолту, тобто процедури оцінювання
ймовірності дефолту iPD на основі певних параметрів позичальника та
кредиту :j
ix ),( j
i
j
i xwFPD = , де jw — ваги параметрів j
ix , i — кількість
позичальників, j — кількість параметрів кредиту.
Із практики діяльності банків відомо, що під час проведення кредитних
операцій банки України та Росії визначають так званий ризик помилки ви-
бору позичальника, в основу якого покладено повноту інформації про кож-
ного конкретного позичальника. Низький ризик визначається за умов, коли
наявність інформації про позичальника становить не менше 90% від обсягу
даних, необхідних банку, а отримана інформація дає змогу зробити виснов-
ки про відсутність у діяльності позичальника кримінальних зв’язків, про
стабільність комерційної діяльності, позитивну кредитну історію, багато-
профільну діяльність, наявність філій, добрий фінансовий стан.
Малий ризик визначається, якщо банк отримав не менш як 80% необ-
хідної інформації про позичальника і така інформація характеризує пози-
чальника як суб’єкта, у діяльності якого відсутні кримінальні зв’язки, під-
тримується стабільна комерційна діяльність на основі перспективного
бізнесу, в якому беруть участь багато партнерів, а з отриманої інформації
можна зробити висновок про добрий фінансовий стан та позитивну кредит-
ну історію позичальника.
Середній ризик визначається для позичальників, щодо яких банк отри-
мав не менш як 70% необхідної інформації. У цьому випадку інформаційні
характеристики можуть вказувати на діяльність позичальника в ризиковій
сфері бізнесу, на факти несвоєчасного повернення кредитів та сплати подат-
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності
Системні дослідження та інформаційні технології, 2014, № 1 15
ків або відсутність досвіду роботи з кредитними коштами, велику кількість
рахунків у різних банках, частина з яких є непрацюючими.
Високий ризик визначається для позичальників, щодо яких банк отри-
мав не менше 60% необхідної йому інформації, з котрої можна зробити
висновок про факти неповернення кредитів у діяльності позичальника, су-
дові розгляди справ за позовами до позичальника, наявність кредиторських
боргів, часту реорганізацію структури, велику плинність кадрів, нестійкий
фінансовий стан, факти недобросовісної конкуренції з боку позичальника
Дуже високий ризик визначається за умов, коли банк отримує менше
60% необхідної йому інформації про позичальника, і отримана інформація
засвідчує відсутність ознак реальної господарської діяльності, непорозумін-
ня з правоохоронними органами та факти недбалого ставлення до виконання
своїх зобов’язань, а також з отриманої інформації неможливо скласти об’єк-
тивний висновок про фінансовий стан позичальника та можливості і перспек-
тиви його підприємницької діяльності.
Розглянемо, як повнота та достовірність отриманих банками даних
впливає на оцінку кредитних ризиків.
ПРИКЛАД ОЦІНЮВАННЯ РИЗИКІВ У ПРОЦЕСІ АНАЛІЗУ
КРЕДИТОСПРОМОЖНОСТІ ПОЗИЧАЛЬНИКІВ-ЮРИДИЧНИХ ОСІБ
Аналіз кредитоспроможності позичальників-юридичних осіб зазвичай здій-
снюється на основі затвердженого фактор-листа 55 фінансових показників,
які були згруповані за такими категоріями: ліквідність, фінансовий леве-
ридж, якість активів, оборотність, прибутковість (ефективність), обслугову-
вання боргу, розмір, структура балансу тощо.
Використання фактор-листів є стандартною загальноприйнятою мето-
дикою, при цьому зрозуміло, що не усі ці фактори є необхідними, а деякі
навіть є надлишковими показниками, що дублюють або розраховуються
з інших показників. Наявність в анкетах великої кількості даних призводить
до випадків, коли частина факторів просто не визначається, не заповнюється
підприємствами або працівниками банків через неуважність або навіть
втому. У фактор-анкетах з’являються незаповнені або пропущені дані, і ви-
являється необхідність здійснювати аналіз повноти наданої інформації.
У фактор-листах важливо розрізняти причини пропущених/незаповнених
даних — неповнота заповнення пов’язана з випадковістю, недбалістю чи
з неможливістю встановлення цього показника для даного підприємства.
Виникає ситуація, коли з одного боку є велика кількість даних, а з іншого —
ці дані не є повними або достовірними, що й викликає появу інформаційно-
го ризику через неповноту інформації. Для мінімізації цього ризику можна
скоротити кількість факторів, по яких збирається інформація, та підвищити
достовірність даних — довизначити пропущені дані. Так, окремо виділя-
ються випадки, коли пропущені дані є нормальною ситуацією (не можуть
бути обчислені показники, оскільки вони в принципі не обчислюються для
цих даних (галузей, клієнтів, тощо)), і випадки, коли пропуски розцінюють-
ся як найгірші випадки (спеціальне або випадкове невказування параметрів
або значень, що заважає обчислити ті чи інші показники) [8, 9]. У першому
Н.В. Кузнєцова
ISSN 1681–6048 System Research & Information Technologies, 2014, № 1 16
випадку пропущеним значенням присвоюється певне нейтральне значення
(наприклад 0), у другому випадку — максимальне, або мінімальне значення
у вибірці, і їх виділяють в окрему категорію.
Для довизначення пропущених даних було використано мережі Байєса
[10, 11], які дозволили обробити і оцінити пропуски та довизначити дані
там, де це було необхідно. Враховуючи, що однією з особливостей мереж
Байєса є можливість з’ясувати причинно-наслідковий зв’язок між показни-
ками, які включають у модель, побудована модель дозволила з’ясувати, які
з 55 факторів є суттєвими для цієї задачі.
Для аналізу якості моделей і встановлення найкращої моделі викорис-
товуються стандартні критерії для оцінювання адекватності моделей: зага-
льна точність; помилки І та ІІ роду; ROC-крива та індекс GINI [11, 12].
Загальна точність моделі (CA — common accuracy) визначається як:
N
ecastCorrectForCA = , де ecastCorrectFor — кількість вірно спрогнозованих
випадків, а N — загальна кількість випадків. Загальна точність моделі
є дещо суб’єктивною оцінкою, оскільки вона залежить від частки дефолтів
у моделі, а також від порогу відсікання [12]. Для різних значень порогу точ-
ність моделі також буде приймати різні значення.
ROC-крива (Receiver Operation Characteristic — робоча характеристика
приймача) показує залежність кількості вірно класифікованих позитивних
прикладів від кількості невірно класифікованих негативних прикладів. Пе-
рші називають істинно позитивними, а інші — негативними множинами.
При цьому припускається, що у класифікатора існує певний параметр,
варіюючи який можна отримати певне розбиття на класи. Цей параметр час-
то називають порогом або точкою відсікання, в залежності від якого будуть
отримані різні величини помилок І та ІІ роду.
З метою перевірки статистичної значущості показників було виконано
однофакторний аналіз. Цей аналіз полягає в перевірці наявності й сили
зв’язку між однією залежною (показник дефолту) і незалежною змінною
(фінансовий показник), що дозволяє визначити, які змінні є найбільш точ-
ними предикторами для моделі.
Однофакторний аналіз проводився у декілька кроків:
• розрахунок статистичних характеристик у ході групування на класи
за принципом максимально однакової кількості спостережень у кожному
класі;
• аналіз отриманих статистичних характеристик, визначення найбільш
сильних предикаторів у категорії;
• перевірка отриманих закономірностей із фундаментальними знання-
ми з предметної області, аналіз динаміки показника WOE від класів;
• перегрупування на класи за допомогою зміни інтервалів з метою
підвищення статистичної значущості.
Для оцінки необхідності використання всіх 55 показників було запро-
поновано використання моделі на основі мереж Байєса, яка дозволила б оці-
нити їх значущість.
В результаті проведеного аналізу було виявлено, що категорія показни-
ків ліквідності характеризується невисокою статистичною значущістю (най-
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності
Системні дослідження та інформаційні технології, 2014, № 1 17
більш сильний показник — коефіцієнт загальної ліквідності); з показників
фінансового левериджу для аналізу був відібраний показник — відношення
боргу до капіталу; показники якості активів і ділової активності показали
доволі низьку статистичну значущість та відсутність однозначних взаємо-
зв’язків з рівнем дефолту з економічної точки зору; з показників прибутко-
вості (ефективності) найбільш значущими виявився коефіцієнти Prof8. Для
подальшого аналізу з показників кредитного навантаження для побудови
моделі було використано показник Debt2 (для обробки ситуацій, коли роз-
рахувати значення цього показнику здається неможливим у випадку відсут-
ності боргу і, як наслідок, процентних витрат, було здійснено обробку про-
пущених даних). Показники розміру та структури балансу характеризуються
низькою статистичною значущістю і не включалися в аналіз.
В результаті були відібрані наступні 9 показників:
• Debt21 — короткостроковий борг/виручка за операційний цикл.
• Prof8 — валовий прибуток/активи.
• Debt4 — борг/(чистий прибуток + амортизація).
• Debt6 — борг/EBTDA.
• Debt2 — EDITDA/процентні витрати.
• Lev1 — валовий прибуток/чиста виручка.
• Prof1 — комбінований показник (доля необоротних активів, валовий
прибуток/чиста виручка).
• Qual_str — борг/власний капітал.
• Str2 — поточні активи/активи.
Побудована мережа Байєса для оцінювання кредитоспроможності юри-
дичних осіб представлена на рис. 2.
Для аналізу використовувались дані 299 підприємств, з них 231 —
у навчальній вибірці, 78 — у перевірочній вибірці. На побудованій мережі
Байєса були перевірені підприємства з перевірочної вибірки (таблиця).
Т а б л и ц я . Результати прогнозування моделі для позичальників-
юридичних осіб
Факт Прогноз:
повернення кредиту
Прогноз:
дефолт
Процент
точності
Повернення кредиту 49 10 83,0%
Дефолт 5 14 74%
Загальна точність моделі 81%
Значення площі під ROC-кривою становить: 8114,0=AUC , а індекс
GINI — .6227,01*2 =−= AUCGINI
Аналіз даних юридичнёих осіб — позичальників кредиту показав, що
відібрані 9 показників адекватно характеризують позичальника з точки зору
оцінки ризику правильного вибору позичальника. З моделі видно, що най-
більш важливими характеристиками для оцінювання ймовірності повернен-
ня кредиту є відносні показники Debt21 та Prof8. Використання відносних
показників також є одним з варіантів обробки неповноти даних для випад-
ків, коли дані не можуть бути обчислені з об’єктивних причин. Результати
моделювання також підтвердили тісний взаємозв’язок між неповнотою да-
Н.В. Кузнєцова
ISSN 1681–6048 System Research & Information Technologies, 2014, № 1 18
них, пов’язаною з навмисним незаповненням окремих показників, та ймо-
вірністю неповернення кредиту позичальником.
Таким чином, аналізуючи інформаційний ризик, пов’язаний з неповно-
тою даних, за допомогою моделей мереж Байєса, можна знизити вплив цьо-
го ризику для банку, точніше оцінити загрози і можливі втрати, пов’язані
з ненаданням всієї інформації позичальником, та визначити критичну інфор-
мацію, ненадання якої дозволить говорити про схильність до неповернення
кредиту позичальником. Відповідна мережа Байєса у такому випадку на-
дасть рекомендацію взагалі не видати кредит цьому підприємству, тим са-
мим знявши повністю ймовірність реалізації цього ризику.
ВИСНОВКИ
Під час аналізу діяльності підприємства і оцінювання портфелю ризиків, що
впливають на його діяльність, особливу увагу слід приділяти саме інформа-
ційним ризикам, які проявляються як у ході проведення певної платіжної
операції або транзакції, так і під час роботи програмного забезпечення все-
редині компанії чи технічної підтримки клієнтів, інформаційній атаці кон-
курентів, витоку інформації за межі компанії тощо. Засобами для мінімізації
інформаційних ризиків залишаються: контроль доступу до інформації, конт-
Рис. 2. Приклад структури мережі Байєса для оцінювання позичальників-
юридичних осіб
Деякі аспекти мінімізації інформаційних ризиків у банківській діяльності
Системні дослідження та інформаційні технології, 2014, № 1 19
роль і захист інформаційних систем, баз даних, тощо, від хакерських і вірус-
них атак, забезпечення безперебійної роботи інформаційних систем навіть
в екстрених ситуаціях (наявність додаткових резервних серверів, засобів
забезпечення безперебійного живлення). Стандартними засобами, що непо-
гано працюють і у випадку інформаційних ризиків, є страхування ризиків,
тобто передача ризику іншому суб’єкту (компенсацію можливих збитків
покласти, скажімо, на страхову компанію) або трансформування інформа-
ційного ризику в інші види ризику — із нижчим рівнем втрат. Банківська
діяльність зазнає суттєвих впливів інформаційних ризиків, адже саме банки
володіють конфіденційною інформацією про своїх клієнтів, захист персональ-
них даних яких від спотворень, витоків та хакерських атак є однією з найва-
жливіших задач банку. У свою чергу, в процесі збору персональної інфор-
мації про фінансовий та майновий стан клієнтів, банки також мають
володіти інструментами та засобами для перевірки цих даних, їх обробки та
додаткових уточнень у випадку наявності неповних та пропущених даних.
Запропонований у роботі підхід до аналізу інформаційних ризиків мо-
же бути використано для підтримки прийняття рішення про мінімізацію ін-
формаційного ризику, пов’язаного з неповнотою даних.
ЛІТЕРАТУРА
1. Романенко Л., Коротеєва А. Ризики у банківській діяльності // Фінанси
України. — 2003. — № 5.— С. 121–127.
2. Кузнєцова Н.В., Бідюк П.І. Системний підхід до аналізу кредитних ризиків
з використанням мереж Байєса // Наукові вісті НТУУ «КПІ». — 2008. —
№ 3. — С. 11–24.
3. Завгородний В.И. Парадигма информационных рисков — http://www.fakit.ru/
main_dsp.php?top_id=591.
4. Петренко С., Симонов C. Методики и технологии управления информацион-
ными риска — http://citforum.ru/security/articles/risk/.
5. Вуколов В. Інформаційні ризики в державному управлінні — http://archive.nbuv.
gov.ua/e-journals/Patp/2010_2/10vvvrdu.pdf.
6. Зинкевич В., Штатов Д. Информационные риски: анализ и количественная
оценка // Бухгалтерия и банки. — 2007. — № 1. — С. 50–55.
7. Зинкевич В., Штатов Д. Информационные риски: анализ и количественная
оценка // Бухгалтерия и банки. — 2007. — № 3. — С. 48–53.
8. Chen G., Thomas A. Bound and Collapse Bayesian Reject Inference When Data are
Missing not at Random // Proc. Conference Banff International Research Station
for Mathematical Innovation and Discovery. — 2003. — 30 р.
9. Cooman G., Zaffalon M. Updating beliefs with incomplete observations // Artificial
Intelligence. — 2004. — 159, Iss.1–2. — P. 75–125.
10. Згуровский М.З., Бидюк П.И., Терентьев А.Н. Методы построения байесовских
сетей на основе оценочных функций // Кибернетика и системный анализ. —
2008. — № 2. — С. 81–88.
11. Кузнєцова Н.В, Бідюк П.І. Порівняльний аналіз характеристик моделей
оцінювання ризиків кредитування // Наукові вісті НТУУ «КПІ». — 2010. —
№ 1. — C. 42–53.
12. Кузнєцова Н.В. Інтегрований підхід до оцінювання кредитних ризиків // Тр.
Одес. политехн. ун-та. — 2010. — № 1(33) — №2(34). — С. 187–192.
Надійшла 30.05.2013
|