Upravljanje operativnih tveganj v financnih in

About This Presentation

Title:

Upravljanje operativnih tveganj v financnih in

Description:

Upravljanje operativnih tveganj v finan nih in titucijah Predstavljena stali a so osebna stali a avtorjev in ne odra ajo nujno stali oziroma poslovne ... – PowerPoint PPT presentation

Number of Views:55

Avg rating:3.0/5.0

Slides: 34

Provided by: isac150

Category:

more less

Transcript and Presenter's Notes

Title: Upravljanje operativnih tveganj v financnih in

1
Upravljanje operativnih tveganj v financnih
inštitucijah
Predstavljena stališca so osebna stališca
avtorjev in ne odražajo nujno stališc oziroma
poslovne prakse družb, v katerih sta zaposlena.

Mag. Janko Uratnik
Peter Grasselli

2
Operativno tveganje

Basel II
Definicije iz zakonodaje
ZBAN 112.
(operativno tveganje)
ZTFI 327., 418. clen
(politike in procesi upravljanja z operativnim
tveganjem)
(1) Operativno tveganje je tveganje nastanka
izgube, vkljucno s pravnim tveganjem, zaradi
naslednjih okolišcin
1. neustreznosti ali nepravilnega izvajanja
notranjih procesov,
2. drugih nepravilnih ravnanj ljudi, ki
spadajo v notranjo poslovno sfero pravne osebe,
3. neustreznosti ali nepravilnega delovanja
sistemov, ki spadajo v notranjo poslovno sfero
pravne osebe, ali
4. zunanjih dogodkov ali dejanj.

3
Ocena tveganja (primer)

Izguba podatkov in razpoložljivosti sistema
zaradi potresa.
Varna soba (npr. Lampertz )
Napajanje z vec strani, agregat, UPS v celici
Potresno varna gradnja
Optika in mikrovalovni link za povezavo z
internetom

Izguba podatkov zaradi namernega dejanja
zaposlenega.
Dostop do sistema, baze podatkov in varnostnih
kopij imata sistemec in operater.
Kraja gesel s strani servisnega osebja.
Servisnega osebja (snažilke, vzdrževalci, ...) se
ne sporemlja dosledno.

4
Tveganje

Tveganje je verjetnost, da se bo z napadom na
doloceno slabost sistema uresnicila dolocena
grožnja, kar bo imelo neželene posledice. (COBIT)
verjetnost
posledice
grožnja
slabost (ranljivost)

5
Verjetnost
stopnja Opis indikativna frekvenca (pricakovana)
skoraj gotovo Tovrstni dogodki so se zgodili v organizaciji v preteklem letu tovrstni dogodki se stalno dogajajo (npr. okužba z zlonamerno kodo) enkrat letno ali pogosteje
verjetno Tak dogodek se je zgodil v organizaciji tovrstni dogodki se v Sloveniji dogodijo vsako leto tovrstni dogodki se redno dogajajo enkrat na tri leta
možno Tovrsten dogodek se je zgodil v organizaciji tak dogodek se je veckrat zgodil v Sloveniji tovrstni dogodki se obcasno dogajajo enkrat na deset let
redko Takšni dogodki se obcasno zgodijo, kje zgodijo enkrat na trideset let
izredno redko Tak ali podoben dogodek se je kje že zgodil teoreticno je možno, da se tak dogodek zgodi enkrat na sto ali vec let
6
Posledice
Posledica/stopnja zelo velike velike omejene majhne
izguba
razkritje informacij
izguba celovitosti
prekinitev nudenja storitev
neucinkovitost
7
Posledice
Posledica/stopnja Zelo velike velike omejene majhne
izguba -Izguba zaposlenih ogroža delovanje. -Izguba podatkov Škoda vecja od 1mio EUR Izguba podatkov -Prizadetih je do 30 zaposlenih. -Izguba podatkov za pretekli delovni dan Škoda vecja od 100 000 EUR Izguba podatkov za pretekli delovni dan -Prizadetih je do 10 zaposlenih. -Izguba podatkov za zadnjih nekaj ur Škoda vecja od 10 000 EUR Izguba podatkov za preteklo uro -Prizadetih je do 5 zaposlenih. -Lahko pride do tega, da posamezni zaposleni izgubijo nekaj ur dela - Škoda pod 10 000 EUR
prekinitev nudenja storitev -Izvajanje storitve ni zagotovljeno, popolna izguba funkcionalnosti. -Informacijski sistem ne deluje naslednji delovni dan po incidentu -Izvajanje storitve ni zagotovljeno v zakonsko ali pogodbeno predvidenih rokih, resne zamude -Informacijski sistem med delovnim casom organizacije ne deluje vec kakor 6 ur -Motnje operativnih aktivnosti, ki povzrocijo daljše zamude -Informacijski sistem med delovnim casom organizacije ne deluje, izpad krajši od 6 ur -Motnje operativnih aktivnosti in manjše zamude -Krajše prekinitve delovanja IS med delovnim casom, slaba odzivnost sistema
8
Stopnja tveganja
zelo velike velike omejene majhne
skoraj gotovo veliko veliko srednje nizko
verjetno veliko srednje srednje sprejemljivo
možno veliko srednje nizko sprejemljivo
redko veliko nizko sprejemljivo sprejemljivo
izredno redko srednje sprejemljivo sprejemljivo sprejemljivo
9
Procesi

PO9 Asses and manage IT risks
AI1 Identify automated solutions (AI1.2 Risk
analysis report)
AI6 Manage Changes (AI6.2 Impac assesement, )
DS4 Ensure continous service
DS5 Ensure systems security
ME2 Monitor and evaluate internal control (ME2.5
Assurance of internal control)
ME4 Provide IT governance (ME4.7 Independent
assurance)

10
Upravljanje tveganj
11
Identifikacija tveganj (primer)

Rezervna lokacija od primarne oddaljena 1 km (v
Ljubljani)
Obe lokaciji potresno varni
Obe lokaciji požarno varni
Napajanje z dveh strani agregat
Obe lokaciji varovani (tehnicno in fizicno
varovanje 24 ur)
Povezava optika mikrovalovni link
Journal datotecni sistem

12
Identifikacija tveganj
Taxonomy of Threats and Security Services for
Information Systems, MITRE, WP 93B0000323
13
Identifikacija tveganj

Zavedati se moramo, da je potresna nevarnost pri
nas realna in stvarna in da do potresa lahko
pride kadarkoli. Iz kranjskega stolnega mesta z
nemško provincialno podobo, ko je imela pred
dobrimi sto leti le krog 30.000 prebivalcev, se
je Ljubljana prelevila v moderno slovensko
središce - prometno križišce, logisticno in
upravno središce, prestolnico države, kar seveda
pomeni, da bi s potresom, ne le mesto, tudi
država imela resne težave. Lahko bi se celo
zgodilo, da bi logisticno "razpadla" na štiri
dele...
Citat je iz gradiva Ocena ogroženosti mestne
obcine Ljubljana zaradi potresa, Mestna obcina
Ljubljana, Oddelek za zašcito, reševanje in
civilno obrambo.
V prejšnjem stoletju so se pojavile tri pandemije
gripe 1918/19 (španska gripa), 1957/58 (azijska
gripa) in 1968/69 (hongkongška gripa).
Strokovnjaki napovedujejo verjetnost nastanka
nove pandemije v bližnji prihodnosti. Pandemija
gripe za razliko od epidemije obicajne gripe ne
predstavlja samo pomembnega javno zdravstvenega
problema, ampak širši družbeni problem. saj lahko
zboli od 25-45 ljudi. Zaskrbljujoce je, da je
klinicna slika zelo težka (pticja gripa) in
smrtnost zelo visoka (preko 50).Nacrt temelji na
naslednjih predpostavkah
Pojav pandemije gripe je po oceni SZO realna
grožnja.
Virus gripe se bo širil zelo hitro in bo
povzrocil visoko morbiditeto in povecano
mortaliteto.
Tekst je povzet iz NACRTA PRIPRAVLJENOSTI NA
PANDEMIJO GRIPE NA PODROCJU ZDRAVSTVA Julij 2006,
MZZ

14
Vrednotenje tveganj
stopnja tveganja Obravnavanje Rok za obravnavanje tveganja
veliko Tveganja ni mogoce upraviciti/sprejeti, razen morda v izrednih razmerah. Uvesti je potrebno kontrole, ki bodo zmanjšale verjetnost takšnega dohodka in/ali posledice, tako da bo kombinacija obojega predstavljala sprejemljivo tveganje. Nacrt obravnavanja tveganja je potrebno izdelati in izvesti takoj ali najkasneje v roku pol leta, ce izvedba priporocila vkljucuje razvoj/vpeljavo storitve IKT.
srednje Potrebno je uvesti kontrolne ukrepe, tako da bo tveganje uvršceno v sprejemljivejše podrocje (nizko, sprejemljivo). Nacrt obravnavanja tveganja je potrebno izdelati in izvesti v roku pol leta ali najkasneje v enem letu, ce izvedba vkljucuje razvoj/vpeljavo storitve IKT.
nizko Preostalo tveganje je sprejemljivo, ce njegovo nadaljnje zmanjševanje ni izvedljivo ali upraviceno. Praviloma je potrebno v takšnem primeru pretehtati, ce se investicija v kontrolno okolje povrne. Nacrt obravnavanja tveganja je potrebno izdelati in izvesti kot del stalnega procesa izboljševanja kontrolnega okolja.
sprejemljivo Uvajanje dodatnih kontrol praviloma ni potrebno. Rok izvedbe ni dolocen.
15
Nacin obravnavanja tveganj
BS 25999-12006 a) Business continuity b)
Acceptance c) Change, suspend or terminate d)
Transfer

ISO 17799/2005
a) applying appropriate controls to reduce the
risks
b) knowingly and objectively accepting risks,
providing they clearly satisfy the organizations
policy and criteria for risk acceptance
c) avoiding risks by not allowing actions that
would cause the risks to occur
d) transferring the associated risks to other
parties, e.g. insurers or suppliers.

16
Standardi in dobra praksa

AS/NZ 4630 Risk Management
M_o_R (Management of Risk, OGC)
A risk management Standard (IRM, Airmic, ALARM)
ISACA (S11, G13, P1)
MSR 315, 320
Standardi notranjega revidiranja

17
Dejavnosti centralne klirinškodepotne družbe

storitve vodenja centralnega registra
nematerializiranih vrednostnih papirjev in
skrbniške storitve v zvezi s korporacijskimi
dejanji izdajateljev nematerializiranih
vrednostnih papirjev,
storitve upravljanja poravnalnega sistema za
poravnavo borznih poslov,
skrbniške storitve v zvezi s prevzemom v skladu z
ZPre-1,
storitve v zvezi z zagotavljanjem socasnosti
izpolnitve pri poravnavi drugih poslov, katerih
predmet so nematerializirani vrednostni papirji,
storitve v zvezi z izplacilom donosov iz
nematerializiranih vrednostnih papirjev,
druge storitve v zvezi s poslovanjem z
nematerializiranimi vrednostnimi papirji in
izpolnjevanjem obveznosti ter uveljavljanjem
pravic iz vrednostnih papirjev

18
Zakonodaja

Zakon o trgu financnih instrumentov (ZTFI)
Zakon o nematerializiranih vrednostnih papirjih
(ZNVP)
Zakon o prevzemih (ZPre-1)
Zakon o investicijskih skladih in družbah za
upravljanje (ZISDU-1)
Sklep o organizacijskih zahtevah za vodenje
centralnega registra in upravljanje poravnalnega
sistema

19
Pogoji, pravila in navodila

Splošni pogoji poslovanja (KDD nastopa kot
narocnik storitev)
Pravila poslovanja KDD - Centralne klirinško
depotne družbe, d.d., Ljubljana
Navodila klirinškodepotne družbe za poravnavo
borznih poslov
Navodila klirinškodepotne družbe o clanih
Navodila klirinškodepotne družbe o postopkih v
zvezi s prevzemno ponudbo po ZPre-1
Navodila klirinškodepotne družbe za vodenje
centralnega registra
Navodila klirinškodepotne družbe za socasno
izpolnitev zunajborznih poslov
Tehnicna navodila

20
Sklep o organizacijskih zahtevah
za vodenje centralnega registra in upravljanje
poravnalnega sistema
21
Primer teksta iz sklepa

3.3. NOTRANJE KONTROLE
21. Clen (ustreznost notranjih kontrol)
(1) Notranje kontrole so ustrezne, ce
- zagotavljajo reden in ucinkovit nadzor nad
skladnostjo delovanja oseb, ki opravljajo dela
pri upravljavcu, s sprejetimi odlocitvami
upravljavca,
- je zagotovljeno delovanje funkcije za pregled
in ocenjevanje trdnosti in zanesljivosti sistema
upravljanja ter za pregled in ocenjevanje
izpolnjevanja drugih zahtev glede vodenja
centralnega registra in upravljanja poravnalnega
sistema (funkcija notranje revizije).
(2) Notranje kontrole vkljucujejo
- porocanje oseb, ki opravljajo dela pri
upravljavcu, o poslovanju upravljavca in o
okolju, v katerem ta posluje, ter spremljanje in
nadzor nad temi porocili s strani oseb, ki
sprejemajo odlocitve,
- vzpostavitev dovolj podrobnih formalnih
delovnih postopkov pri izvajanju vseh
pomembnejših poslovnih dejavnosti upravljavca in
nadzor nad spoštovanjem teh postopkov,
- vzpostavitev dovolj podrobnih formalnih
delovnih postopkov, ki so potrebni za pravocasno
izpolnjevanje obveznosti v zvezi s financnimi in
drugimi porocili, ki morajo prikazovati resnicno
in pošteno sliko premoženja in obveznosti
upravljavca, njegovega financnega položaja ter
poslovnega izida in morajo biti skladna z
veljavnimi racunovodskimi standardi,
- vzpostavitev sistemov in postopkov za
ohranjanje varnosti, celovitosti in zaupnosti
informacij,
- fizicne kontrole, kjer so te potrebne za
omejevanje dostopa do premicnega in nepremicnega
premoženja upravljavca in za varovanje tega
premoženja
- vzpostavitev ustreznih notranjih kontrol na
podrocju informacijskega sistema.

Upravljavec mora v svojem poslovanju smiselno
upoštevati slovenski standard SIST BS 7799-22003
Sistemi za upravljanje varovanja informacij
Specifikacija z napotki za uporabo, ki ga izdaja
Slovenski inštitut za standardizacijo oziroma
drug pooblašcen organ.
22
Varnost, zaupnost in celovitost
1_proc_clen_qry
cob text cl.
- vzpostavitev sistemov in postopkov za ohranjanje varnosti, celovitosti in zaupnosti informacij, 21
DS5.3 zagotovljene morajo biti logicne kontrole dostopa do programske in strojne opreme ter evidenca vseh dostopov, vpogledov oziroma sprememb podatkov in oseb, ki so dostopale, vpogledovale, vnašale ali spreminjale podatke, 27
DS5.3 možnost vnosa podatkov smejo imeti le pooblašcene osebe, 27
DS5.3 je dostop do podatkov in racunalniških programov oziroma posameznih funkcij informacijskega sistema omejen le posameznim uslužbencem v skladu z njihovimi pooblastili in odgovornostmi, in da razen dolocenega upravljavca informacijskega sistema nihce od zaposlenih nima neomejenega dostopa do vseh podatkov in racunalniških sistemov, 26.
DS5.3 zaposleni morajo imeti ustrezne dostope do informacij, da lahko izvršujejo svoje naloge, 24
DS5.4 (2) Upravljavec z internim aktom doloci osebe, ki imajo pravico do dostopa, vpogleda, vnosa in sprememb podatkov, ter nivo njihovih pravic. 27
DS5.4 so dolocena pravila in pooblastila za dostop do podatkov in posameznih racunalniških programov, 26
DS5.5 zagotovljen mora biti podatek o osebah, ki so dostopale do podatkov in osebah, ki so opravile vnos in odobrile vnos podatkov, 27
DS5.5 Splošni informacijski sistem, ki podpira racunovodstvo in notranje postopke v zvezi z opravljanjem storitev upravljavca (v nadaljevanju splošni informacijski sistem) mora omogocati beleženje vseh transakcij in s tem povezanega pretoka podatkov, ki je potreben v procesu sprejemanja odlocitev v okviru notranjih kontrol, predvsem pa moraomogocati sledljivost vseh transakcij z beleženjem casa in bistvenih podatkov o transakciji, ki omogocajo sledljivost transakcij, 24
DS5.11 zagotovljen mora biti natancen, popoln ter ustrezno zašciten prenos podatkov, 27
23
Preslikava
24
(No Transcript)
25
Zrelostni model
category mlevel clen text
Awerness and Communication 4 13. clen Zaposleni morajo razumeti namen in pomembnost notranjih kontrol ter svoj prispevek k njihovemu ucinkovitemu izvajanju.
Awerness and Communication 4 3. clen da vzpostavi, izvaja in vzdržuje ucinkovito notranje porocanje ter pretok informacij na vseh ustreznih ravneh
Awerness and Communication 4 3. clen da zagotovi, da so vsi zaposleni seznanjeni s postopki, ki jih morajo upoštevati za pravilno opravljanje svojih dolžnosti
Goals Setting and Measurment 4 21. clen - nadzor nad spoštovanjem teh postopkov,
Goals Setting and Measurment 4 3. clen da vzpostavi, izvaja in vzdržuje primerne notranje kontrolne mehanizme, katerih namen je zagotoviti skladnost z odlocitvami in postopki na vseh ravneh upravljavca
Goals Setting and Measurment 4 3. clen da spremlja in redno ocenjuje primernost in ucinkovitost svojih sistemov, notranjih kontrolnih mehanizmov in ureditev ter sprejme primerne ukrepe za odpravljanje pomanjkljivosti.
Policies,plans and Procedures 4 17. clen (4) Upravljavec mora pred vecjo spremembo organizacijskega ustroja opraviti analizo pripadajocih tveganj.
Policies,plans and Procedures 4 21. clen - vzpostavitev dovolj podrobnih formalnih delovnih postopkov pri izvajanju vseh pomembnejših poslovnih dejavnosti upravljavca
Policies,plans and Procedures 4 27. clen (3) Upravljavec mora v svojem poslovanju smiselno upoštevati slovenski standard SIST BS 7799-22003 Sistemi za upravljanje varovanja informacij Specifikacija z napotki za uporabo, ki ga izdaja Slovenski inštitut za standardizacijo oziroma drug pooblašcen organ.
Policies,plans and Procedures 3 28. clen (3) Upravljavec mora zagotoviti varnost, popolnost in ažurnost dokumentacije.
Policies,plans and Procedures 3 3. clen Pravila, nacrti in postopki, ki jih upravljavec sprejme na podlagi tega sklepa, morajo biti v pisni obliki.
Policies,plans and Procedures 3 3. clen da vzdržuje primerne in urejene evidence svojih dokumentov v zvezi z notranjo organizacijo in postopki
Responsibility and Accountability 4 11. clen zagotavlja transparenten in dokumentiran proces sprejemanja vodstvenih odlocitev.
Responsibility and Accountability 4 21. clen - zagotavljajo reden in ucinkovit nadzor nad skladnostjo delovanja oseb, ki opravljajo dela pri upravljavcu, s sprejetimi odlocitvami upravljavca,
Responsibility and Accountability 4 27. clen (3) Upravljavec mora v svojem poslovanju smiselno upoštevati slovenski standard SIST BS 7799-22003 Sistemi za upravljanje varovanja informacij Specifikacija z napotki za uporabo, ki ga izdaja Slovenski inštitut za standardizacijo oziroma drug pooblašcen organ.
Responsibility and Accountability 4 3. clen da pripravi, izvaja in vzdržuje postopke odlocanja ter organizacijsko strukturo, ki jasno in na dokumentiran nacin razporeja funkcije, pooblastila in odgovornosti
26
Preslikava na procese COBIT-a
27
Preslikava na COBIT

Prednosti
Opisana in preizkušena metodologija
Za lastne potrebe jo je mogoce poenostaviti
Zagotavalja celovit pregled
Spodbuja objektivnost
Povezava z ISO 17799, ...!
Kontrolni cilji, metrike (upravljanje)
Control practicies (SUVI)
Assurance guide (revizija)

28
Prehod iz normativnega v operativno
(v skladu s standardi in dobro prakso)

S preslikavo zakonodajnih zahtev na COBIT
kontrolne cilje je
dolocen minimalni predvideni obseg kontrolnega
okolja (procesi, kontrolni cilji, metrike).
dolocena predvidena zrelost (kakovost)
kontrolnega okolja.
Dolocitev in sprejetje kriterijev ocenjevanja in
obravnavanja tveganj
je osnova za sporazumevanje o pomembnosti
tveganj,
spodbuja objektivnost ocenjevanja in dolocanja
prioritet

29
Obravnavanje tveganj (primer)

Evidenca racunalniške opreme
Zahteva rednost in natancnost
Kratek potreben cas za vpis podatkov
Opis konfiguracije
Ucinek
Omogoca spremljanje gibanja opreme
Omogoca spremljanje zadolžitev
Omogoca identificiranje ob odtujitvi

30
Zakonodaja za bancno okolje

ZBan-1, Zakon o bancništvu
Sklep o upravljanju s tveganji in izvajanju
procesa ocenjevanja ustreznega notranjega
kapitala za banke in hranilnice
Priloga splošni standardi upravljanja z
operativnim tveganjem (BCM, PCP, DRP, nadzor
zasebnega varovanja)

31
Sklep o upravljanju s tveganji...