Соглашение Basel II ("Международная конвергенция принципов измерения капитала и стандартов капитала") было разработано и предложено Базельским комитетом по банковскому надзору и регулированию в 2001 году. Основная цель документа — выработать единый подход к управлению рисками финансовых организаций в международном масштабе. Положения Basel II уже применяются в ряде стран (ЕС, США, Япония, Индия), а Россия планирует присоединиться к договору в 2009 году. Однако учитывая жесткость требований, предъявляемых Базельским соглашением к финансовым организациям, через два года отвечать им в полной мере смогут только 15 крупнейших российских банков, остальным же придется приложить массу усилий для быстрой адаптации к новым реалиям.
В первую очередь Basel II требует подсчитывать резервируемый капитал на уровне центральной функции организации, а не отдельной бизнес-единицы. Другими словами, банк должен проанализировать информацию со всех подразделений, собрав ее в единой базе данных, что приводит к необходимости существенных инвестиций в IT-инфраструктуру.
Более того, Basel II предписывает банкам выделять капитал для покрытия трех основных типов рисков — не только кредитных и рыночных, но и операционных. Между тем, как показало исследование "Соглашение Basel II в России 2006", в ходе которого аналитический центр InfoWatch и "Национальный банковский журнал" опросили 34 российских банка, именно операционные риски представляют основную проблему для отечественных кредитных организаций. 50% всех банков вообще не управляют ими, а другие 50% управляют лишь частично, а значит, неэффективно.
Под операционным риском Basel II понимает "риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий". Таким образом, именно в эту категорию попадают угрозы IT-безопасности, причем, как показало исследование "Соглашение Basel II в России 2006", для российских банков наибольшую угрозу представляют именно внутренние риски, в первую очередь неадекватные или ошибочные действия персонала.
Выходов из сложившейся ситуации может быть несколько. Во-первых, "богатые" банки могут не внедрять ничего нового, а просто выделить серьезный капитал для покрытия инсайдерских рисков. Однако такой вариант потребует больших материальных затрат, поэтому вряд ли будет востребован. Во-вторых, банки могут свести к минимуму инсайдерские риски с помощью административных мер, серьезно ограничив доступ собственных сотрудников к конфиденциальным данным. Такой подход теоретически возможен, но на практике малоприменим, так как приведет к снижению эффективности работы банка в целом. Наконец, третий и наиболее разумный вариант предполагает внедрение специализированных систем, которое позволит взять под контроль львиную долю операционных рисков и уменьшить резервируемый капитал.