Дейността на
банката се осъществява чрез офиси и изнесени работни места. Органите за
управление на банката са Общо събрание на акционерите, Надзорен съвет и Управителен
съвет. Към надзорния съвет е създадена специализирана служба „Вътрешен одит”.
Към Управителния съвет са създадени следните постоянни помощни органи –
Кредитен комитет, Кредитен съвет, Комитет по управление на ликвидността и
Бюджетна комисия, които функционират по утвърдени от УС правила.
Общото
събрание
Свиква се на
редовно заседание веднъж годишно, но не по-късно от края на първото полугодие и
може да:
- Изменя и
допълва Устава на банката;
- Решава
въпросите, касаещи увеличението и намалението на капитала на банката;
- Взема решение
за обезсилване на акции, като определя и реда за това;
- Преобразува и
прекратява банката;
- Избира и
освобождава членовете на Надзорния съвет и определя възнагражденията им;
- Избира и
освобождава ръководителя на службата за Вътрешен одит;
- Избира и
освобождава специализирано одиторско предприятие;
- Одобрява
годишния финансов отчет;
- Приема
годишния доклад за дейността на банката, представен от Управителния съвет;
- Освобождава
от отговорност членовете на Надзорния съвет и на Управителния съвет;
- Назначава
ликвидаторите при прекратяването на банката, освен в случай на несъстоятелност;
- Решава и
други въпроси, предоставени в неговата компетентност със закон или с устава на
банката.
Надзорният
съвет
Състои се пет
членове, които се избират от общото събрание за срок до 5 години и могат да
бъдат преизбирани без ограничение. Те не могат да бъдат едновременно и членове
на Управителния съвет на банката. Надзорният съвет:
- Не участва в
управлението на банката;
- Одобрява правилника
за работа на Управителния съвет;
- Избира
членовете на Управителния съвет и определя техните възнаграждения;
- Овластява
двама или повече членове на Управителния съвет, наричани изпълнителни
директори, да представляват банката;
- Одобрява
прокуристи и търговски пълномощници;
- По всяко
време може да изисква сведения и доклади по въпроси, засягащи банката;
- Заседава
най-малко веднъж на три месеца.
Управителен
съвет
Състои се от 3
лица, избрани за срок до 5 години. Членовете му могат да бъдат преизбирани без
ограничения. Управителният съвет, с одобрението на Надзорния съвет избира
измежду членовете си най-малко двама изпълнителни директори, като ги овлястява
да управляват банката и да я представляват. Изпълнителните директори могат да
упълномощават трети лица за извършване на отделни действия. Те могат да
упълномощават прокуристите да представляват банката. Управителният съвет:
- Организира
изпълнението на решенията на Общото събрание и на Надзорния съвет;
- Приема
програми, бюджет и оперативни планове, касаещи дейността на банката;
- Определя
структурата и длъжностите в банката;
- Изготвя и
предлага за одобрение от Надзорния съвет годишния финансов отчет и
предложението за разпределение на печалбата, което ще направи пред Общото
събрание на акционерите;
- Решава
въпроси по кредитната и лихвената политика на банката, по размера на таксите,
комисионите и разноските, които банката събира по операциите си;
- Взема решение
за предоставяне на големи и вътрешни кредити;
- Приема
правилник за работата си, който се одобрява от Надзорния съвет;
- Приема
вътрешно нормативните актове на банката;
- Изпълнява и
други функции, възложени му от Общото събрание и Надзорния съвет.
2.
Разпределението на отговорностите между изпълнителните директори и другите
администратори,
Изпълнителните
директори
отговарят за дейността на отделните направления, които са им подчинени.
Те са следните:
- Направление
„Икономическа политика”
- Направление
“Главно счетоводство”
- Направление “Мониторинг и управление на риска”
- Направление
„Операции”
- Направление
„Продажби и офисна мрежа”
- Направление
„“Информационни технологии”
- Направление
“Инвестиции”
- Направление
„Финансови пазари и портфейлни инвестиции”
- Направление
“Правно”
- Направление
“Обслужване на клиенти”
- Направление
„Сигурност и охрана”
- Направление
“Административно”
„БКСБ” АД
|
Управители: Мартина Петрова и Савина Атанастова
|
Централна дирекция „човешки ресурси”
Началник отдел: Радостина Антонова Сътрудник: Теодора Николова и Ясен Йорданов |
Централна дирекция „ Информационни технологии и
сигурност”
Отговорник: Стоил Стоилов |
Централна дирекция „Административно правен”
Началник отдел: Кристина Калчева
Юрист: Николета Николаева
Сътрудник: Симона Николова |
Централна дирекция „Финансово - Счетоводен”
Главен счетоводител: Юмгюлсюн Вели Оперативен счетоводител: Фатме Хюсеинова |
Централна дирекция „ Маркетинг”
Началник отдел: Радостина Алексиева, Сътрудник: София Василева |
Банката има
изградена клонова мрежа,
Тя
се състои от 242 офиси,
разположени по територията на цялата страна, в които работят 900 банкови
служители и които се
ръководят от управители.
Съществуват и
съвещателни органи, в които се привличат специалисти извън системата на
банката.
1) Централни
дирекции –
- Секретариат
към Управителния съвет - води кореспонденцията на ръководството;
- Правна дирекция -
урежда юридически проблеми, подготвя крупни консорциални договори, взема мерки
за отстраняване на рисковете в банковата работа;
- Организационна
дирекция - тя е централен орган за направляване дейността на
банката;
- Ревизионна дирекция -
упражнява текущ контрол в/у дейността на банката;
- Дирекция Персонал - занимава се
с кадрите в банката и въпросите свързани с рационалното разпределение на
банковите служители, тяхното назначаване, преместване, уволняване;
- Дирекция Икономическа - събира,
анализира, обработва и публикува данни за икономическото,
- Финансовото, валутно състояние и дейността на самата банка;
- Дирекция Статистическа- обработва и обобщава данни за вътрешно-банковата
работа в количествен и стойностен разрез.
2)Оперативни
отдели I степен - това са отдели, които извършват текущата банкова дейност.
Такива са: касовия отдел, отдел преводи, отдел чекове, отдел менителници, отдел
ценни книжа, валутен отдел, депозитен отдел, кредитен отдел.
3) Оперативни
отдели II степен - се считат звената, които отразяват счетоводно,
статистически и оперативно дейността на банката. Такива са: Отдел Прима нота;
Отдел Главно счетоводство; Отдел Електронна обработка на информацията;
Контокорентен отдел.
4) Спомагателни
отдели - те създават условия за нормална работа в дирекциите и оперативните
отдели
3.
Организацията и управлението на информационната система на банката и механизъм за защита на информацията
А.
Организацията
и управлението на информационната система на банката
Банката
обслужва своите клиенти на базата на съвременни банкови информационни технологии.
Специалистите от дирекция „ИТ” в БКСБ
АД, съдействат на бизнес
звената за запазване и разширяване на пазарния дял на Банката в страната
и чужбина.
През 2014г. информационните
технологии на Банката се развиваха в следните основни направления:
•
Разширяване функционалността на използваната в БКСБ АД централизирана информационна
система “АИС 2” разработка на фирма “Датамакс” АД. Като използва
предимствата на “АИС 2”, Банката предлага на своите клиенти цялостно банково
обслужване. От вътрешно-банкови разплащания в лева и валута в реално време,
международни разплащания, депозиране на средства, разплащания между клиенти без открити
банкови сметки, и др. До
участие в борсовия пазар.
•
Разширяване на системата обслужваща SWIFT за управление и опериране
на валутни разплащания
през различни BIC кодове.
•
ЦКБ АД е лицензиран агент на системата за бързи парични
преводи Western Union, като в информационната мрежа на Банката съществуват
над 200 работни места за работа с Western Union.
Общ
вид на централизираната информационна система “АИС 2”, внедрена в БКСБ АД,
която е разработка на фирма “Датамакс”
АД
Основни
компоненти на информационната технология IT
Б.
Проект на механизъм
за защита на информацията
Системите за управление сигурността на информацията набират все
по-голяма скорост съдейки по подадените проекти по последната одобрена
европейска програма за покриване на международно признати стандарти и въвеждане
на системи за управление в предприятията. Дали причината е в осъзнаването
на тяхната необходимост или е породено от външен натиск, вече внедрени други
стандарти/стандартите са задължителен елемент за програмата/ или друго е трудно
да се каже, но факт е засиления интерес към СУСИ.
Предпазливостта
по отношение на системите за управление сигурността на информацията се поражда
от погрешното схващане, че системата касае сигурността на информацията на IT инфраструктурата и
информацията свързана с нея, т.е. компютри, компютърни мрежи и информацията в тях.
Вярно е, че голяма част от информацията се съхранява, обработва и
разпространява чрез компютрите и компютърните мрежи, но с това съвсем не се
изчерпва наличната в една организация информация. Тя обхваща всички данни,
които ако напуснат организацията или попаднат в неподходящи ръце биха могли да
навредят на нейното съществуване.
Информация
е „know-how”-то, което е от изключителна важност за успеха на една
фирма, познанията на хората, съдържанието на документи, данни за клиенти,
служители. Затова система за управление сигурността на информацията може да
бъде внедрена в организация без
наличието дори на един компютър, какъвто е например един футболен отбор.
Примерът
за футболния отбор е показателен за приложимостта на системите за управление
сигурността на информацията за всякакъв тип организации, независимо от
наличната IT инфраструктура. Вече стана ясно, че СУСИ са приложими за
всякакъв тип организации, но необходимостта от внедряване на СУСИ се определя
от чувствителността на информацията
събирана или генерирана в организацията. Не случайно Закона за електронното
управление задължи административните организации да внедрят СУСИ.
Абсолютна
необходимост е внедряването на СУСИ в администрации и организации работещи с чувствителни
данни на граждани и фирми като общини, банки, застрахователни
организации, пенсионни фондове и др. Рисковете там са големи и
съответно мерките за тяхното предотвратяване и управление ще са големи.
Представете си до какви щети може да се стигне при един срив или пробив в
информационната система на една банка, например.
СУСИ са
сложни системи. Те трябва да обхванат цялата налична информация и рисковете
свързани с нея. Във време на информационно пренасищане представете си за какъв
обем информация става въпрос. И като за капак на всичко това трябва да се
определят политики, цели, правила за работа и т.н. за всяка определена насока.
Не казвам
всичко това с цел да внуша страхопочитание към СУСИ, а напротив. Бих искал да
обърна внимание на сложността и задълбочеността на системата. Идеята ми е, че
както при всяка друга система, колкото е по индивидуална и отразяваща спецификите
на организацията, толкова тя ще е по-полезна и успешна.
Внедряването
на СУСИ е отговорна задача, защото има пряка връзка със съществуването на
организацията. Ако една система за управление на
качеството е внедрена качествено, ще повиши ефективността на
организацията. Ако не е внедрена качествено организацията рискува инвестираните
средства. Докато, ако системата за управление сигурността на информацията не е
внедрена качествено, организацията рискува всичко.
Рискува собствения си актив и което е по-лошо рискува доверието на
заинтересованите страни - клиенти, доставчици, служители.
От друга
страна успешното внедряване на СУСИ съвсем не означава, че сте защитени
от всичко и за винаги. Непрекъснато се появяват нови заплахи
и рискове,
който трябва да бъдат изследвани и включвани в обхвата на системата, ако се
прецени, че това е необходимо. Системата постоянно трябва да се развива,
подобрява и обогатява, както и всички ние.
Управлението
на сигурността на информацията е от критично важно значение за всяка една
организация. Информацията е много и е навсякъде около нас. Логично възниква
въпросът – как да я защитим?
Един
възможен вариант е внедряването на система за управление сигурността на
информацията съгласно изискванията на стандарт ISO 27001
Информационни технологии. Методи за сигурност. Системи за управление на
сигурността на информацията. Изисквания.
Стандартът
ISO 27001 предоставя рамката за изграждане на система за
защита на чувствителната бизнес информация. Целта на стандарта е постигане
определено ниво на защита, чрез осигуряване на следните характеристики на
информацията:
- поверителност – само оторизирани лица да имат
достъп до съответната информация;
- цялостност – само оторизирани лица да имат
възможност за промяна на информацията;
- наличност – достъпност на оторизираните
служители до необходимата им информация.
Как да
осигурим защита на информацията?
Да
разгледаме случай с откраднат служебен преносим компютър. С цел избягване на
подобен неприятен, а и определено опасен инцидент можем да създадем правила
за използване на служебни преносими компютри, където да бъдат описани рисковете
и мерките
за предотвратяване на кражба, загуба, повреда и др. Освен правилата за работа
можем да включим и други форми на защита на информацията, чрез въвеждането на парола за достъп, кодиране на диска,
допълнително обучение на персонала. И всички биха били спокойни, ако
организацията разполагаше само и единствено с този преносим компютър. Но ако те
са 10, 20 или 100. А много често освен преносими компютри организацията
разполага и със стационарни, свързани в мрежа и при това с достъп до интернет.
И изведнъж рисковете се увеличават неимоверно много, а управлението им излиза
извън контрол.
Още
повече, че когато говорим за сигурност на информацията нямаме в предвид само
рисковете свързани с IT инфраструктурата, а обхващаме и физическата сигурност, човешките
ресурси, правната защита.
Всяко едно от изброените направления носи рискове за информацията, които трябва
да бъдат оценени и контролирани, за да се постигне желаното ниво на управление
на сигурността на информацията в организацията.
Чрез
внедряването на система за управление на информацията за всеки един от
рисковете се определят механизми за контрол, които обединени в система действат
като единен и цялостен защитен
механизъм относно сигурността на чувствителната бизнес информация.
В
Приложение А на стандарт 27001 е посочен списък с цели на контрола и механизми
за контрол, които могат да се използват като насока, с цел избягване
на пропуски в защитата на информацията.
- БДС ISO/IEC 27000:2010 Информационни технологии. Методи за
сигурност. Системи за управление на сигурността на информацията. Общ
преглед и речник;
- БДС ISO/IEC 27001:2006 Информационни технологии. Методи за
сигурност. Системи за управление на сигурността на информацията. Изисквания;
- БДС ISO/IEC 27002:2008 Информационни технологии. Методи за
сигурност. Кодекс за добра практика за управление на сигурността на
информацията;
- БДС ISO/IEC 27003:2011 Информационни
технологии. Методи за сигурност. Указания за внедряване на системи за
управление на сигурността на информацията;
- ISO/IEC 27004:2009 Информационни технологии. Методи за
сигурност. Управление на сигурността на информацията. Измерване
- БДС ISO/IEC 27005:2009 Информационни технологии. Методи за
сигурност. Управление на риска за сигурността на информацията;
- БДС ISO/IEC 27006:2009 Информационни технологии. Методи за
сигурност. Изисквания за органите, извършващи одит и сертификация на системи за
управление на сигурността на информацията.
Нова
версия на стандарт ISO/IEC
27001:2013
От края
на месец септември е активна новата версия на стандарт ISO/IEC
27001:2013 Information technology. Security
techniques. Information security management systems. Requirements.
Последните
години стандартът набира
популярност, защото помага на организациите да защитят своите информационни
активи, във среда с непрекъснато увеличаващи се заплахи и атаки.
Според
организаторът на работната група Edward Humphries, в
новата версия на стандарта са направени редица подобрения в Приложение А по отношение на контрола на сигурността,
така че да се гарантира възможността за справяне със съвременните заплахи свързани с кражба на личността, употребата на
мобилни устройства и онлайн приложения.
Анонсирането
на новата версия на стандарт ISO/IEC 27001:2013 е свързано с предоставянето на данни от проучване на PricewaterhouseCoopers (PwC) във
Великобритания, според което броят на засегнатите компании от нарушаване на сигурността
на информацията продължава непрекъснато да нараства, като под прицел са не само
големите организации, но и малките. Цели 87% от малките организации докладват за пробиви в сигурността на
информацията им през последната година. Като основна причина за увеличаващите
се заплахи се посочва използването на социални мрежи и съвременни технологии,
като SMART телефони и таблети.
За
съжаление нямаме подобно проучване у нас, за да сравним резултатите и да
очертаем тенденциите на нашата среда, но от впечатленията ми за използването на
съвременните технологии предполагам, че ще са в унисон с тези във
Великобритания.
Проучването
на PwC е интересно четиво подходящо за всеки, който се
интересува от темата за информационна сигурност. За мен представляваше интерес
да науча повече за основните източници, предизвикващи пробив в информационната сигурност. Любопитен е фактът, че е
отчетен много висок процент на пробив в следствие на действия на персонала и
атаките от външни за организацията лица.
Друга
важна особеност свързана с новата версия на стандарт ISO/IEC
27001:2013 е прилагането на структура, използвана в повечето стандарти за
системи за управление и позволяваща по-лесното интегриране. Организациите внедрили и
поддържащи системи за управление на информационната сигурност със сигурност
управляват системи и по други стандарти - ISO 9001, ISO 14001, OHSAS 18001, SA 8000 или
др., така, че новата промяна със сигурност ще им е от полза.
Към днешна
дата стандартът ISO/IEC
27001:2013 е наличен за закупуване на сайта на ISO. Предполагам
скоро ще се появи и на сайта на БИС, но за превода
на български език ще се наложи да почакаме.
Няма коментари:
Публикуване на коментар