0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Информационная безопасность финансового менеджмента

Информационная безопасность в финансовых организациях

Компания «Инфосистемы Джет» реализует широкий спектр проектов для организаций финансово-кредитной отрасли: от приведения в соответствие нормативным требованиям по ИБ до внедрения решений в области борьбы с мошенничеством при осуществлении дистанционного банковского обслуживания юридических и физических лиц; от решения оперативных задач до стратегического развития. Специалисты Центра информационной безопасности «Инфосистемы Джет» имеют большой опыт работы с финансовыми организациями и обладают глубоким знанием специфики отрасли. Эти наработки позволяют успешно выполнять проекты различного масштаба и сложности в сфере ИБ финансовых организаций.

Проблематика

Сегодня финансовый сектор является одним из наиболее динамично развивающихся. В этой отрасли существует большое количество задач, связанных с обеспечением ИБ. К наиболее актуальным из которых относятся нижеперечисленные.

  • Состояние ИБ должно соответствовать установленным нормативным требованиям. При этом ежегодно усиливаются правила регулирующих органов, выходят новые версии стандартов. Несоответствие требованиям увеличивает риск штрафов и других административных санкций со стороны различных надзорных органов, а также возрастают угрозы репутации.
  • Решения по защите сервисов дистанционного банковского обслуживания – удобный и мобильный сервис, который позволяет экономить время клиентов и снижать операционные издержки. Проблемы с безопасностью (атаки на клиентскую часть данного сервиса) приводят к серьезным финансовым и репутационный потерям. Информация о подобных инцидентах настораживает клиентов, отбивает у них желание применять для платежных операций дистанционные сервисы. Кроме того, в конце 2012 года вступает в силу ряд изменений в законодательстве РФ, регламентирующих обработку претензий граждан в случае хищений. Это переносит риски возмещения неправомерных операций на кредитно-финансовые организации.
  • Инфраструктура финансовых организаций часто меняется. Это связанно с постоянным развитием: рост клиентской базы (как следствие, увеличение количества сотрудников), расширение территориальной сети, внедрение новых услуг, поглощение конкурентов, объединение в холдинги. При многоуровневой модели подчинения и большом числе разрозненных информационных систем теряется прозрачность процессов. Данная особенность приводит к тому, что традиционные способы управления правами доступа становятся неэффективными с точки зрения безопасности и ресурсозатрат.
  • Современные финансовые организации, как правило, имеют многоуровневую ИТ-инфраструктуру с многочисленными интегрированными в нее средствами ИБ. Несмотря на многоступенчатую систему защиты, инциденты информационной безопасности способны привести к простоям или полностью остановить критичные бизнес-процессы. Как следствие, компания может понести значительные финансовые и имиджевые потери.

Решение

Соответствие стандартам и требованиям

Процессы обеспечения ИБ в организации должны соответствовать международным соглашениям, необходимым стандартам и требованиям регулирующих органов и платежных систем:

В условиях роста числа нормативных требований по ИБ соответствовать им становится все труднее. Требования стандарта PCI DSS во многом пересекаются с требованиями СТО БР и «Закона о персональных данных». Поэтому некоторые внедряемые в рамках проектов по соответствию PCI DSS организационные и технические меры также помогают выполнению требований №152-ФЗ и стандарта СТО БР.

Центр информационной безопасности компании «Инфосистемы Джет» в решении данных задач использует комплексный подход к выполнению нормативных требований, предполагающий автоматизацию процессов управления и контроля над уровнем соответствия выбранным стандартам. Компанией накоплен большой опыт проектов по приведению ИБ финансовых организаций в соответствие требованиям PCI DSS , ЗПД и СТО БР. Он позволяет оптимальным образом сочетать предлагаемые средства защиты с целью удовлетворить максимальное количество требований различных стандартов.

Решения по защите ДБО

Типовое решение по защите ДБО (дистанционное банковское обслуживание) можно разделить на 2 метода:

  • Традиционные средства и методы безопасности ДБО (создание базовой инфраструктуры безопасности, защиты банковских приложений (АБС, процессинг), создание систем мониторинга (SOC), соответствие стандартам безопасности).
  • Инновационный метод – внедрение системы мониторинга банковских транзакций.

Специалисты компании «Инфосистемы Джет» осуществляют полный комплекс работ по традиционной защите ДБО, обладают всеми необходимыми компетенциями, имеют лицензии и сертификаты на осуществление данной деятельности, а также большой проектный опыт.

Что касается инновационного метода, контроль поведения пользователей осуществляется с помощью внедрения систем класса Fraud Management. Эти системы проводят онлайн-анализ всех банковских транзакций в системах ДБО. Решения данного класса, кроме базовых функциональных возможностей, включают уникальные сервисы повышения эффективности выявления мошеннических операций.

Применение систем Fraud Management обеспечивает:

  1. снижение рисков проведения мошеннических операций при использовании клиентами сервисов ДБО (позволяет блокировать до 99% мошеннических транзакций);
  2. устранение рисков, связанных с ущербом репутации, причин недоверия клиентов к платежным операциям через дистанционные сервисы;
  3. снижение операционных рисков (позволяет выявлять мошеннические сценарии и организации, вносить их в «черный список», накапливать сведения по действиям клиентов и составлять типовую модель поведения).

Системы управления учётными записями

Identity Manager (IDM) позволяет автоматизировать процессы управления учётными записями на основании данных кадровой системы, автоматизировать процессы согласования заявок на доступ, отслеживать учётные записи с избыточными привилегиями и учётные записи, не имеющие владельцев, строить соответствующие отчёты. Предоставляются экспертные услуги по анализу и построению процессов управления правами доступа, инвентаризации прав доступа в информационных системах и построению ролевой модели.

Компания «Инфосистемы Джет» имеет богатый опыт по построению решений централизованного управления учётными записями на базе продуктов технологических лидеров Oracle и IBM, а также Microsoft и SAP. В команде «Инфосистемы Джет» собраны квалифицированные специалисты, в компании выработаны авторские методики, основанные на накопленной экспертизе и лучших отраслевых практиках.

Внедрение IdM-решений позволяет значительно увеличить эффективность процессов управления доступом, сократить время ожидания сотрудников при предоставлении нужных прав, сократить нагрузку на системных администраторов и службу поддержки, снизить риски информационной безопасности, связанные с наличием у сотрудников избыточных прав доступа или конфликтующих полномочий, усилить контроль над информационными системами и повысить прозрачность процессов управления правами доступа.

Центр оперативного управления ИБ

Говоря о решении данной задачи, важно понимать, что в условиях динамичного роста числа сотрудников и территориального развития важно уметь контролировать и управлять всеми процессами ИБ, поддерживать ее необходимый уровень, отслеживать выполнение заданных целевых показателей эффективности обеспечения ИБ в режиме реального времени.

Центр оперативного управления ИБ (Security Operations Center – SOC)представляет собой набор связанных процессов управления ИБ (мониторинг, управление инцидентами ИБ, управление уязвимостями, инвентаризация активов, управление изменениями, контроль политик безопасности) и дополняющих друг друга технических средств, выполняющих их автоматизацию.

Центр информационной безопасности компании «Инфосистемы Джет» создает комплексное решение, обладающее рядом преимуществ:

  • бизнес-ориентированный подход при выборе решения, учитывающий масштаб ИТ-инфраструктуры, поставленных целей и задач управления и обеспечения ИБ;
  • возможность проведения пилота на инфраструктуре заказчика;
  • комплексная реализация проектов (проектирование, внедрение, поставка, поддержка);
  • проект делится на этапы, как по компонентам, так и по области внедрения;
  • проекты по созданию SOC реализуются на базе технологий ведущих вендоров.

Внедрение SOC позволяет финансовым организациям, с одной стороны, контролировать текущее состояние ИБ, минимизировать ущерб от инцидентов, корректировать и совершенствовать механизмы защиты информационных систем за счет постоянного анализа событий ИБ. С другой стороны, наличие SOC позволяет организациям соответствовать нормативным и внутренним требованиям, предъявляемым к организации ИБ. Это способствует повышению доверия со стороны клиентов и партнеров за счет прозрачности работы ИТ-инфраструктуры и постоянного контроля происходящих событий.

ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ ФИНАНСОВОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Сущность информационной безопасности предприятия

В условиях финансово-экономического кризиса настоящее отечественные предприятия функционируют при неопределенности изменения конъюнктуры рынка, несовершенства финансово-экономического и организационно-правового механизма обеспечения экономической безопасности предприятия, а в том числе и ее информационной составляющей. Уровень угроз и рисков информаций безопасности предприятия постоянно растут. Особенно, это связано с развитием современных технологий, многочисленными информационными преступлениями, шпионажем, промышленным шпионажем. Хозяйствующие субъекты взаимодействуют с большим количеством контрагентов, стремятся реализовать свои интересы, и являются крупными угрозами внешней среды, пытающихся законным и незаконным путем получить информацию о финансовом состоянии предприятия, планы на перспективу развития, информацию о процессе производства и сбыта товара, поставщиков , партнеров. Часто, переманивая персонал или устраивая своего работника, конкуренты пытаются незаконным путем получить информацию о субъекте хозяйствования. Поэтому, для обеспечения информационной безопасности предприятия необходимо применять превентивные меры как юридического так и финансового характера. Механизм обеспечения информационной безопасности субъектов хозяйствования должна формироваться и реализовываться на практике путем комплексного решения проблем, связанных с многофакторностью трудно контролируемого и прогнозируемого современной среды функционирования системы информационной безопасности предприятий. Современные условия предпринимательской деятельности требуют создания информационно-обеспеченной системы управления. Именно поэтому, обеспечение информационной безопасности предприятия является весьма актуальным вопросом современности.

Развитые страны мира тратят около 9-12% от своей прибыли на обеспечение безопасности бизнеса. [14, с. 8] В Украине на предприятиях, нередко, обеспечения безопасности предприятия сводится к наличию охранника.

В английском языке слово «information» впервые появилось в 1387 Современного написания это слово приобрело в XVI в. В восточнославянские языки слово «информация» пришло из Польши в XVII в. В середине XX в. информация стала общенаучным понятием, но до сих пор в научной сфере оно заважничает достаточно дискуссионным. Общепринятого определения информация не существует, и оно используется преимущественно на интуитивном уровне. [53, с. 449]

Правовой основой определения термина «информация» является Закон Украины «Об информации» и Гражданский кодекс Украины.

Так, согласно Закону Украины «Об информации» под понятием «информация» понимается любые сведения и / или данные, которые могут быть сохранены на материальных носителях или отражены в электронном виде. [82]

В соответствии с Законом Украины «О защите экономической конкуренции» информация — сведения в любой форме и виде и сохраненные на любых носителях (в том числе переписка, книги, заметки, иллюстрации (карты, диаграммы, органиграммы, рисунки, схемы и т.п.) , фотографии, голограммы, кино-, видео-, микрофильмы, звуковые записи, базы данных компьютерных систем или полное или частичное воспроизведение элементов), объяснения лиц и любые другие публично объявленные или документированные сведения. [83]

Учитывая толкование термина информация Гражданским кодексом, под этим термином понимается документированные или публично объявленные сведения о событиях и явлениях, которые имели или имеют место в обществе, государстве и окружающей среде. [44, ст.200]

Существует множество толкований термина «информация» учеными, но исследуем некоторые из них.

В частности, Цюрюпа С.В. считает, что информация — это один из важнейших ресурсов вместе с материальными, энергетическими и человеческими ресурсами. [84, с. 231].

Кортич Б.А. пользуется мнением, что информация — некоторые сведения, совокупность каких-либо данных, знаний. [8, с. 41] Для более полного понимания понятия «информация» приведем ее виды. (Табл. 4.1.)

Основные виды информации [5, с. 124-136]

Информационная безопасность — финансовый сектор (часть 1 из 2)

Основные результаты исследования 2015 года «Глобальное состояние информационной безопасности» в сфере финансовых услуг

Для большинства руководителей компаний, предоставляющих финансовые услуги, не стал неожиданностью факт роста числа инцидентов, связанных с информационной безопасностью и рост вызванных ими убытков. В последние два года изощренные злоумышленники по всему миру провели против банков мощные кибер атаки, связанные с распределенным отказом от обслуживания (DDoS). В результате этих атак с депозитных счетов были сняты миллиарды долларов, украдены миллионы записей о платежных картах, и имело место проникновение во многие национальные фондовые биржи. Несмотря на это, многие глобальные финансовые компании не внедряли процессы и технологии, чтобы предотвращать, обнаруживать и реагировать на риски в сфере информационной безопасности. В частности, многие из них не уделяют должного внимания угрозам от третьих лиц, и со стороны таких инсайдеров, как собственные сотрудники и партнеры, имеющие доверенный доступ. Другие компании вовсе пренебрегают основными базовыми руководствами, рабочими процессами, и способностями людей, позволяющими быстро обнаруживать компрометацию информации и реагировать на нее.

По мере того, как регуляторы по всему миру ужесточают требования к организациям, предоставляющим финансовые услуги, все более важными становятся совершенствование методов обеспечения информационной безопасности (далее ИБ).

«Международные фирмы, предоставляющие финансовые услуги, находятся под угрозой больших рисков, чем когда-либо ранее, и по всем оценкам эти угрозы будут только расти — говорит Джо Носера (Joe Nocera), руководитель кибер безопасности компании PwC. Именно поэтому глобальные организации должны отдавать предпочтения инвестициям в безопасность наиболее важных бизнес активов. В этом случае они могут осуществлять стратегическое инвестирование в правильные комбинации процессов безопасности, технологий, а также осведомленность и подготовку персонала. В сегодняшнем мире не важно, произойдет ли инцидент. Важно, когда он произойдет, и компании должны быть готовы отреагировать на него» .

Другими словами, уже невозможно защитить все данные, сети и приложения на самом высоком уровне, но профилактическая программа информационной безопасности позволит компаниям, осуществляющим финансовые услуги, повысить уровень безопасности, и быстрее реагировать на неизбежные инциденты.

Обнаруженные инциденты демонстрируют стабильный рост

Исследование 2015 года «Глобальное состояние информационной безопасности» (GSISS), в котором приняли участие 758 глобальных финансовых организаций, показывает, что по сравнению с 2013 годом количество обнаруженных инцидентов безопасности в этом году возросло на 8%.

Потери, связанные с инцидентами безопасности, подскочили на 24%, и первое место занимают инциденты, которые принесли крупные убытки. Отдельный ряд финансовых фирм сообщает о росте убытков за прошедший год от 10 до 19.9 миллиона долларов, демонстрируя невероятный рост на 141% за прошедший год.

Источники атак

В то время как количество инцидентов безопасности и убытки от них продолжают расти, расходы на обеспечение информационной безопасности отстают, особенно среди менее крупного бизнеса.

В глобальном масштабе расходы на информационную безопасность увеличились на 3% по сравнению с предшествующим годом. И хотя финансовые фирмы инвестируют больше, чем в последние годы, затраты на обеспечение безопасности остановились на уровне, не превышающим 4% от общего бюджета информационных технологий за последние семь лет.
Из-за недостатка инвестиций, многие финансовые фирмы не успевают применять современные процессы и инструменты для обнаружения развивающихся в наше время угроз безопасности и реагирования на них. Из года в год мы наблюдаем недостаток прогресса — а в ряде случаев и значительное торможение – в использовании безопасных средств управления доступом, оценок риска и уязвимости, мониторинга и анализа угроз, средств защиты от третьих лиц, осведомлении и подготовке персонала, и многого другого. Бреши в безопасности поражают не только итоговые показатели финансовых институтов, но и их репутацию, бренд и интеллектуальную собственность.

«Руководители компаний не должны больше позволять себе рассматривать информационную безопасность, как рядовую технологическую проблему — говорит исполнительный директор PwC, Стивен Расселл. Затраты на защиту от кибер угроз резко возросли, и регуляторы теперь обращают внимание на то, насколько хорошо финансовые организации защищаются от этих угроз» .

Падение в обеспечении безопасности

Поддержка топ-менеджмента

Информационная безопасность больше не является предметом беспокойства исключительно департамента IT. Сегодня это критический для всего бизнеса вопрос, требующий внимания и активного контроля со стороны CEO и совета директоров. Чтобы быть эффективной, информационная безопасность должна быть интегрирована в общую структуру управления рисками предприятия, и CEO вместе с советом директоров должны нести, или как минимум разделять, ответственность за состояние информационной безопасности.

«Мы считаем организации кибер устойчивыми, если они обладают всесторонней, хорошо продуманной программой управления кибер рисками, и их руководство несет ответственность за действия и результаты такой программы» — говорит Стивен Расселл, исполнительный директор PwC.

Высшее руководство должно установить строгую культуру информационной безопасности, создав соответствующий этический кодекс. Чтобы добиться этого, руководству необходимо активно доносить информацию о важности безопасности до всех сотрудников. Такая практика реализована у 71% финансовых компаний, которые принимали участие в исследовании. Помимо этого, совет директоров должен участвовать в обсуждении рисков информационной безопасности и управления ими. Участие правления является жизненно важным для достижения соответствующих решений по уровню кибер рисков, которые готова принять организация, и для выработки на основе этих решений процедур реагирования на инциденты. Такая вовлеченность правления может стать ключевым фактором адекватного финансирования информационной безопасности — чего большинство финансовых фирм не обеспечивают. Только 44% респондентов сообщили, что их высшее руководство вовлечено в формирование бюджета информационной безопасности.
Система информационной безопасности, основанная на управлении рисками, потребует тесного взаимодействия между руководителями департаментов IT, безопасности, юридической поддержки, управления рисками, финансов и трудовых ресурсов. Такая группа должна встречаться на регулярной основе для координации и распространения информации по вопросам безопасности. Эту практику используют 56% финансовых организаций, принявших участие в исследовании.
Но большинство фирм на самом деле не делают этого. Мы просили участников исследования представить подробную информацию о вовлеченности руководства их фирм в инициативы, связанные с кибернетической безопасностью. И ответы говорят сами за себя. Только треть (33%) респондентов сообщили, что их руководство участвует в рассмотрении рисков безопасности и конфиденциальности. Это крайне малая величина с учетом осведомленности корпоративного сектора о важности информационной безопасности.

Участие руководства в обеспечении информационной безопасности

Регуляторы ужесточают правила

Недавние шаги, предпринятые финансовыми регуляторами в США и ЕС, говорят о том, что они могут требовать доказательств реализации финансовыми фирмами надежных программ безопасности. Требования и правила такого типа в будущем, скорее всего, будут только ужесточаться.

Рассмотрим, например, общие нормы по защите данных Европейского союза, которые находятся в процессе подготовки, и будут завершены в 2015 году. Эти правила, как ожидается, добавят новые требования по информированию третьих лиц о наличии брешей в защите, потребуют от организаций, обрабатывающих персональные данные, выполнять оценки рисков и проводить аудиты, а также увеличат размеры штрафов за компрометацию бизнеса с 2 до 5 процентов от годового оборота. Другие регулятивные органы сообщили о своих намерениях тестирования финансовых организаций на предмет рисков уязвимости, а также политики и процедур снижения рисков.

Что нужно для прохождения теста:
— процесс реакции и управления инцидентами;
— план сохранения непрерывности бизнеса и восстановления после атак;
— разработка мер управления безопасным доступом;
— оценка угроз;
— доступ привилегированных пользователей;
— средства управления внесения исправлений;
— средства корреляции событий, связанных с безопасностью;
— наличие страхования от кибер рисков;
— программы подготовки и осведомления персонала по вопросам безопасности;
— шифрование смартфонов.

Комиссия США по ценным бумагам и биржевым операциям (SEC) предполагает, что фирмы, оказывающие финансовые услуги, должны серьезно рассмотреть инвестиции в кибер страхование. Фактически, Комиссия включила кибер страхование в список возможных факторов, которые могут использоваться при проведении теста. Более того, в SEC пошли еще дальше, отмечая, что фирмы, предоставляющие финансовые услуги, должны быть готовы к проведению теста для фактической проверки их готовности. Другим словами, традиционное определение соответствия требованиями регулятора путем простановки галочек в перечне требований более не является достаточным.

Фирмы должны больше ориентироваться на стратегические вопросы потому что, в ближайшем будущем, регуляторы могут потребовать еще большего ужесточения требований к информационной безопасности. Многие финансовые фирмы, использующие в качестве руководства готовые промышленные системы безопасности, такие как ISO 27001 или NIST Cybersecurity Framework, вряд ли смогут сдать тесты по ИБ. Для этого потребуется, чтобы финансовая фирма выстроила продуманную, основанную на управлении рисками систему информационной безопасности, в состав которой входят:
— культура ИБ, исходящая от CEO и правления;
— регулярное тестирование плана реагирования на инциденты;
— оценка и мониторинг рисков безопасности, выполняемые независимыми организациями;
— современные методы анализа угроз и понимание угроз, специфичных для бизнеса;
— оценка роли кибер страхования;
— основные фундаментальные принципы безопасности, такие как четкие процессы организационного управления, и программа непрерывного информирования персонала.

Регуляторы могут также ожидать, что организации, предоставляющие финансовые услуги, будут обмениваться информацией об угрозах, как внутри организации, так и с частными или принадлежащими к общественному сектору партнерами. Многие финансовые фирмы во всем мире уже участвуют в работе Центра обмена и анализа информации операторов финансовых услуг (FS ISAC), созданного в 1999 году.

Такие совместные действия косвенно приводят к новому уровню подготовленности в вопросах безопасности, включая отраслевые тесты, имитирующие кибер атаки на финансовые институты, и позволяющие их участникам совместно работать, обмениваясь тактикой реагирования на них. Выход за границы организации с целью обмена такими данными об угрозах и информации о реагировании на них, является эффективным способом укрепления безопасности. Эта инициатива может учитываться регуляторами при будущих тестах безопасности финансовых фирм.

Среди респондентов опроса 62% заявили, что они работают совместно с другими организациями для повышения уровня безопасности. По сравнению с прошлым годом в этом направлении имеет место значительный рост (55%).

3.Информационное обеспечение финансового менеджмента.

Информационное обеспечение финансового менеджмента представляет собой единство внутренних и внешних источников информации. Она заключается в подготовке, нахождении и использовании общеэкономической, бухгалтерской, финансовой, коммерческой, статистической и другой информации. Основным источником информации для управления финансами на предприятии являются бухгалтерская отчетность, а также обеспечение менеджмента электронными системами коммуникаций. Для крупных предприятий и организаций управление — одна из наиболее острых, а иногда и критических проблем, поэтому необходимы постоянное повышение квалификации и компьютерной грамотности финансовых менеджеров. В настоящее время система бухгалтерского учета автоматизируется. Но, несмотря на очевидные преимущества, перевод бумажных документов в электронную форму — сложная проблема. Для крупных предприятий это связано с огромным потоком документов, для мелких — с их финансовыми возможностями, наличием квалифицированных кадров и т.п. Создаются автоматизированные рабочие места (АРМ) финансовых менеджеров, которые представляют собой малые вычислительные системы, ориентированные на автоматизацию управления финансами предприятия.

Основным источником финансовой информации является финансовая отчетность.

Финансовая отчетность — это совокупность форм отчетности, составляющаяся на основе данных финансового учета с целью предоставления пользователям обобщенной информации о финансовом положении и деятельности предприятия, а также об изменениях в его финансовом положении за отчетный период в удобной и понятной форме этим пользователям определенных деловых решений на предприятии.

Финансовая отчетность является связующим звеном между предприятием и внешней средой. Основной целью предоставления информации внешним пользователям является получении дополнительных финансовых ресурсов.

Среди внешних пользователей отчетности выделяют две группы:1.пользователи, непосредственно заинтересованные в деятельности компании (собственники, поставщики, покупатели); 2.пользователи, непосредственно незаинтересованные в ней (аудиторские службы, торговые ассоциации, регистрационные государственные органы, биржи и прочие).

В соответствии с различными экономическими признаками вся отчетная информация группируется в отдельные укрупненные статьи, которые в международном практике называются элементами финансовой отчетности. Основными из них являются: активы, обязательства, собственный капитал, доходы-расходы, прибыль – убыток.

Все элементы отражаются в Бухгалтерском балансе (форма №1), в Отчете о прибылях и убытках (форма №2), в Отчете о движении денежных средств (форма №4).

4. Денежные потоки и методы их оценки.

Денежный поток – поступление и выплаты денежных средств, распределенные по времени и обусловленные деятельностью предприятия. Классификация денежных потоков. 1. По видам деятельности: денежный поток производственной деятельности, денежный поток инвестиционной деятельности, денежный поток финансовой деятельности. 2. По направлению движения: положительный и отрицательный. 3. По способу оценки во времени: настоящий и будущий (прогнозируемый). 4. По уровню достаточности: избыточный и дефицитный. Существует два метода расчета потоков денежных потоков: прямой и косвенный. При прямом методе расчет потоков осуществляется на основе счетов бухгалтерского учета предприятия, а при косвенном — на основе показателей баланса предприятия и отчета о финансовых результатах. При прямом методе предприятие получает ответы на вопросы относительно притоков и оттоков денежных средств и их достаточности для обеспечения всех платежей. При прямом методе поток денежных средств на конец периода определяется как разница между всеми притоками на предприятии по трем видам деятельности (основной, инвестиционной и финансовой) и их оттоками. При косвенном методе основой для расчета является нераспределенная прибыль, амортизация, а также изменение активов и пассивов предприятия. При этом увеличение активов уменьшает денежные средства предприятия, а увеличение пассивов — увеличивает, и наоборот. Косвенный метод показывает взаимосвязь различных видов деятельности предприятия, а также влияние на прибыль изменений в активах и пассивах предприятия. Основой расчета при прямом методе является выручка от реализации продукции, а при косвенном — прибыль.

78. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ФИНАНСОВЫХ СИСТЕМАХ.

Информационное пространство (инфосфера) — сфера человеческой деятельности, связанная с созданием, преобразованием и потреблением информации и включающая в себя:

1)индивидуальное и общественное сознание

2) информационные ресурсы, то есть информационную инфраструктуру (комплекс организационных структур, технических средств, программного и другого обеспечения для формирования, хранения, обработки и передачи информации),

3) а также собственно информацию и ее потоки.

Информационная преступность — проведение информационных воздействий на информационное пространство или любой его элемент в противоправных целях.

Информационная безопасность включает:

1) состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;

2) состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;

3) состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как секретность, целостность и доступность.

4) экономическую составляющую (структуры управления в экономической сфере, включая системы сбора, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы);

5) финансовую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов).

Понятие информационной безопасности в узком смысле этого слова подразумевает:

1) надежность работы компьютера;

2) сохранность ценных данных;

3) защиту информации от внесения в нее изменений неуполномоченными лицами;

4) сохранение тайны переписки в электронной связи.

Безопасность информационной системы достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности ресурсов системы.

Конфиденциальность компьютерной информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программистам и т.д.).

Целостность ресурса системы — свойство ресурса быть неизменным в семантическом смысле при функционировании системы.

Доступность ресурса системы — свойство ресурса быть доступным для использования авторизированными субъектами системы в любое время.

Систему обеспечения безопасности информации можно разбить на следующие подсистемы:

1) компьютерную безопасность;

2) безопасность данных;

3) безопасное программное обеспечение;

4) безопасность коммуникаций.

Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.

Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.

Безопасное программное обеспечение представляет собой общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.

Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в отчет на телекоммуникационный запрос.

К объектам информационной безопасности на предприятии относят:

1) информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

2) средства и системы информатизации — средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.

Методами обеспечения зашиты информации на предприятии являются следующие: препятствие и управление доступом; маскировка; регламентация; принуждение и побуждение.

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации.

Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия.

Маскировка — метод защиты информации в АИС предприятия путем ее криптографического закрытия (шифрования).

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение — метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

УПРАВЛЕНИЕ ФИНАНСОВОЙ БЕЗОПАСНОСТЬЮ КОМПАНИИ

В результате изучения данной главы студент должен:

  • • основные положения теории финансовой безопасности компании в контексте теории безопасности фирмы;
  • • порядок признания юридического лица банкротом и механизм проведения процедуры банкротства;
  • • выделять угрозы финансовому благополучию компании;
  • • осуществлять мониторинг показателей угроз финансовой безопасности компании;
  • • разрабатывать системы мер, направленных на обеспечение финансовой безопасности компании;
  • • навыками расчета критериев финансовой безопасности компании;
  • • техниками риск-ориентированного эффективного финансового менеджмента.

Понятие финансовой безопасности компании и сущность риск-ориентированного финансового менеджмента

Финансовая безопасность компании — это состояние защищенности финансового состояния компании, включая защищенность от рисков. Финансовая безопасность проявляется в процессе противодействия компании негативным внешним и внутренним обстоятельствам, своевременной реакции на внешние и внутренние возмущения, выводящие ее из состояния финансовой устойчивости.

Структурирование финансового менеджмента на ключевые объекты управления (управление затратами, портфелем продукции, оборотным и основным капиталом, активами, циклами расходов и доходов, производственным циклом, финансовым и управленческим учетом, привлечением финансирования) формирует и те же структурные элементы финансовой безопасности компании. В терминах теорий безопасности и ее различных особенностей (национальной, экономической, финансовой, продовольственной, транспортной, военно-промышленной, экологической безопасностей) для обособления данного научного направления выделяют, как правило, угрозы (опасности), включая понятие риска как потенциальной угрозы несения убытков, опасности потерь.

Цель обеспечения финансовой безопасности — своевременное выявление и предотвращение опасностей и угроз, обеспечение защищенности финансовой деятельности компании и достижения ею целей развития.

Риск в финансовом менеджменте — эго также опасность, угроза потери запланированной доходности компании как за счет увеличения эксплуатационных и инвестиционных затрат, так и за счет нереализации на практике прогноза получения выручки. Анализ риска позволяет:

  • а) выбрать более эффективные управленческие решения по критерию наименьшего риска;
  • б) сравнить степень вероятности получения выгод для всех участников и сопоставить значения дохода и риска по принципу — чем больше риск, тем больше доход;
  • в) предусмотреть разные варианты значимых управленческих решений на стадии подготовки документов, обслуживающих тот или иной проект, задачу. Например, сравнить выгоды от различных типов контрактов:
    • — сервисного контракта;
    • — контракта с постоянной долей продукции;
    • — контракта с изменяющимся масштабом доли продукции;
    • — контракта с фиксированной платой за единицу продукции и г.д.

Анализ рисков включает следующие составляющие:

  • — идентификацию событий, связанных с рисками, и идентификацию всех видов рисков;
  • — оценку вероятности риска и их ранжирование по значимости (в зависимости от размеров возможного ущерба и вероятности наступления того или иного события);
  • — формирование системы управления рисками;
  • — мониторинг рисков.

Информацией для количественной оценки рисков (финансовой безопасности компании) служат данные финансового анализа. При проведении качественного анализа рисков изучается статистика потерь и прибылей, имевших место на данном или аналогичном производстве.

Количественный анализ рисков включает:

  • — идентификацию рисков — анализ чувствительности;
  • — анализ сценариев (базового, наихудшего и наилучшего);
  • — оценку убытков проекта, связанных с каждым из видов риска;
  • — имитационное моделирование.

Анализ чувствительности планов компании (англ, sensitivity analysis) состоит в проверке того, будет ли деятельность компании по тому или иному направлению по-прежнему выгодной, если некоторые основные ее переменные факторы окажутся не такими, как запланировано.

Для этого производится пересчет показателей эффективности деятельности компании с учетом изменений исходной информации (как правило, это цена единицы продукции и объем выпуска, а также другие факторы).

На основе проведенного анализа чувствительности определяется порог (точка безубыточности) значения того или иного критического показателя эффективности.

На основе количественного анализа рисков с применением методов экспертных оценок производится качественное описание рисков проекта и оценивается вероятность их возникновения.

Все риски компании можно условно разделить на две большие группы: предсказуемые и непредсказуемые (рис. 10.1).

Рис. 10.1. Классификация рисков (угроз) финансовой безопасности компании

Макроэкономические (непредсказуемые) риски:

  • — изменение общего курса экономической политики в связи с разными обстоятельствами (сменой руководства страны, наступлением кризиса и нр.);
  • — резкий рост инфляции;
  • — неожиданные меры государственного регулирования в сферах деятельности компании (налогообложения, лицензирования, ценообразования, охраны окружающей среды и пр.).

Экологические (непредсказуемые) риски (природные катастрофы):

  • — наводнения;
  • — землетрясения;
  • — штормы;
  • — пожары и др.

Непредсказуемые риски, связанные с преступлениями:

  • — вандализм;
  • — саботаж;
  • — коррупция;
  • — промышленный шпионаж;
  • — рейдерство;
  • — терроризм;
  • — подрыв репутации;
  • — мошенничество.

Непредвиденные срывы в деятельности компании:

  • — из-за банкротства подрядчиков;
  • — в финансировании компании;
  • — в производственно-технологической системе (аварии и отказ оборудования, производственный брак и др.);
  • — колебания рыночной конъюнктуры, валютных курсов, цен;
  • — обострение социальных конфликтов на территории деятельности компании;
  • — забастовки и пр.

Внешние предсказуемые риски:

  • — потери позиции на рынке;
  • — усиление конкуренции;
  • — изменения потребительских предпочтений;
  • — повышение стоимости сырья и материалов;
  • — запланированные изменения законодательства в области ценообразования, налогообложения и т.п.

Внутрикорпоративные предсказуемые риски (связаны с неэффективным управлением компанией):

  • • срывы планов работ по причинам:
    • — недостатка рабочей силы и/или материалов;
    • — плохих условий на строительных площадках;
    • — ошибок проектирования; труднодоступное™ объекта;
    • — перерасхода средств из-за неправильной стратегии снабжения, неквалифицированного персонала, протестов подрядчиков и пр.;
  • • правовые риски, связанные с несоблюдением законодательства, невыполнением контрактов, возникновением внутренних и внешних судебных процессов;
  • • нарушение информационной безопасности.

Риски неэффективного финансового менеджмента можно конкретизировать следующим образом.

В сфере операционной деятельности:

  • — снижение выручки и/или рост затрат вследствие недостатков аналитической работы в компании, финансового планирования и пр.;
  • — дефицит или повышенные издержки хранения запасов товарно-материальных запасов;
  • — неуправляемый высокий уровень дебиторской задолженности;
  • — наличие просроченной кредиторской задолженности.

В сфере управления активами’.

  • — неэффективное использование основного капитала;
  • — дефицит оборотного капитала;
  • — неэффективное управление денежными потоками;
  • — недиверсифицированные кассовые остатки в различных валютах;
  • — валютные потери вследствие отказа от операций хеджирования в сфере инвестиционной деятельности;
  • — неверный выбор зон преимуществ, приоритетов инвестиционной деятельности;
  • — неэффективное размещение создаваемых производств;
  • — недостаток инвестиционных ресурсов.

В зависимости от вероятности наступления неблагоприятных для проекта событий производится оценка значимости того или иного вида риска для проекта с целью выделения ресурсов на его нейтрализацию (табл. 10.1).

Пример составления шаблона оценки влияния риска на ключевые

Ссылка на основную публикацию
Adblock
detector