Upravljanje operativnih tveganj v financnih in - PowerPoint PPT Presentation

1 / 33
About This Presentation
Title:

Upravljanje operativnih tveganj v financnih in

Description:

Upravljanje operativnih tveganj v finan nih in titucijah Predstavljena stali a so osebna stali a avtorjev in ne odra ajo nujno stali oziroma poslovne ... – PowerPoint PPT presentation

Number of Views:56
Avg rating:3.0/5.0
Slides: 34
Provided by: isac150
Category:

less

Transcript and Presenter's Notes

Title: Upravljanje operativnih tveganj v financnih in


1
Upravljanje operativnih tveganj v financnih
inštitucijah
Predstavljena stališca so osebna stališca
avtorjev in ne odražajo nujno stališc oziroma
poslovne prakse družb, v katerih sta zaposlena.
  • Mag. Janko Uratnik
  • Peter Grasselli

2
Operativno tveganje
  • Basel II
  • Definicije iz zakonodaje
  • ZBAN 112.
  • (operativno tveganje)
  • ZTFI 327., 418. clen
  • (politike in procesi upravljanja z operativnim
    tveganjem)
  • (1) Operativno tveganje je tveganje nastanka
    izgube, vkljucno s pravnim tveganjem, zaradi
    naslednjih okolišcin
  • 1. neustreznosti ali nepravilnega izvajanja
    notranjih procesov,
  • 2. drugih nepravilnih ravnanj ljudi, ki
    spadajo v notranjo poslovno sfero pravne osebe,
  • 3. neustreznosti ali nepravilnega delovanja
    sistemov, ki spadajo v notranjo poslovno sfero
    pravne osebe, ali
  • 4. zunanjih dogodkov ali dejanj.

3
Ocena tveganja (primer)
  • Izguba podatkov in razpoložljivosti sistema
    zaradi potresa.
  • Varna soba (npr. Lampertz )
  • Napajanje z vec strani, agregat, UPS v celici
  • Potresno varna gradnja
  • Optika in mikrovalovni link za povezavo z
    internetom
  • Izguba podatkov zaradi namernega dejanja
    zaposlenega.
  • Dostop do sistema, baze podatkov in varnostnih
    kopij imata sistemec in operater.
  • Kraja gesel s strani servisnega osebja.
  • Servisnega osebja (snažilke, vzdrževalci, ...) se
    ne sporemlja dosledno.

4
Tveganje
  • Tveganje je verjetnost, da se bo z napadom na
    doloceno slabost sistema uresnicila dolocena
    grožnja, kar bo imelo neželene posledice. (COBIT)
  • verjetnost
  • posledice
  • grožnja
  • slabost (ranljivost)

5
Verjetnost
stopnja Opis indikativna frekvenca (pricakovana)
skoraj gotovo Tovrstni dogodki so se zgodili v organizaciji v preteklem letu tovrstni dogodki se stalno dogajajo (npr. okužba z zlonamerno kodo) enkrat letno ali pogosteje
verjetno Tak dogodek se je zgodil v organizaciji tovrstni dogodki se v Sloveniji dogodijo vsako leto tovrstni dogodki se redno dogajajo enkrat na tri leta
možno Tovrsten dogodek se je zgodil v organizaciji tak dogodek se je veckrat zgodil v Sloveniji tovrstni dogodki se obcasno dogajajo enkrat na deset let
redko Takšni dogodki se obcasno zgodijo, kje zgodijo enkrat na trideset let
izredno redko Tak ali podoben dogodek se je kje že zgodil teoreticno je možno, da se tak dogodek zgodi enkrat na sto ali vec let
6
Posledice
Posledica/stopnja zelo velike velike omejene majhne
izguba
razkritje informacij
izguba celovitosti
prekinitev nudenja storitev
neucinkovitost
7
Posledice
Posledica/stopnja Zelo velike velike omejene majhne
izguba -Izguba zaposlenih ogroža delovanje. -Izguba podatkov Škoda vecja od 1mio EUR Izguba podatkov -Prizadetih je do 30 zaposlenih. -Izguba podatkov za pretekli delovni dan Škoda vecja od 100 000 EUR Izguba podatkov za pretekli delovni dan -Prizadetih je do 10 zaposlenih. -Izguba podatkov za zadnjih nekaj ur Škoda vecja od 10 000 EUR Izguba podatkov za preteklo uro -Prizadetih je do 5 zaposlenih. -Lahko pride do tega, da posamezni zaposleni izgubijo nekaj ur dela - Škoda pod 10 000 EUR
prekinitev nudenja storitev -Izvajanje storitve ni zagotovljeno, popolna izguba funkcionalnosti. -Informacijski sistem ne deluje naslednji delovni dan po incidentu -Izvajanje storitve ni zagotovljeno v zakonsko ali pogodbeno predvidenih rokih, resne zamude -Informacijski sistem med delovnim casom organizacije ne deluje vec kakor 6 ur -Motnje operativnih aktivnosti, ki povzrocijo daljše zamude -Informacijski sistem med delovnim casom organizacije ne deluje, izpad krajši od 6 ur -Motnje operativnih aktivnosti in manjše zamude -Krajše prekinitve delovanja IS med delovnim casom, slaba odzivnost sistema
8
Stopnja tveganja
  zelo velike velike omejene majhne
skoraj gotovo veliko veliko srednje nizko
verjetno veliko srednje srednje sprejemljivo
možno veliko srednje nizko sprejemljivo
redko veliko nizko sprejemljivo sprejemljivo
izredno redko srednje sprejemljivo sprejemljivo sprejemljivo
9
Procesi
  • PO9 Asses and manage IT risks
  • AI1 Identify automated solutions (AI1.2 Risk
    analysis report)
  • AI6 Manage Changes (AI6.2 Impac assesement, )
  • DS4 Ensure continous service
  • DS5 Ensure systems security
  • ME2 Monitor and evaluate internal control (ME2.5
    Assurance of internal control)
  • ME4 Provide IT governance (ME4.7 Independent
    assurance)

10
Upravljanje tveganj
11
Identifikacija tveganj (primer)
  • Rezervna lokacija od primarne oddaljena 1 km (v
    Ljubljani)
  • Obe lokaciji potresno varni
  • Obe lokaciji požarno varni
  • Napajanje z dveh strani agregat
  • Obe lokaciji varovani (tehnicno in fizicno
    varovanje 24 ur)
  • Povezava optika mikrovalovni link
  • Journal datotecni sistem

12
Identifikacija tveganj
Taxonomy of Threats and Security Services for
Information Systems, MITRE, WP 93B0000323
13
Identifikacija tveganj
  • Zavedati se moramo, da je potresna nevarnost pri
    nas realna in stvarna in da do potresa lahko
    pride kadarkoli. Iz kranjskega stolnega mesta z
    nemško provincialno podobo, ko je imela pred
    dobrimi sto leti le krog 30.000 prebivalcev, se
    je Ljubljana prelevila v moderno slovensko
    središce - prometno križišce, logisticno in
    upravno središce, prestolnico države, kar seveda
    pomeni, da bi s potresom, ne le mesto, tudi
    država imela resne težave. Lahko bi se celo
    zgodilo, da bi logisticno "razpadla" na štiri
    dele...
  • Citat je iz gradiva Ocena ogroženosti mestne
    obcine Ljubljana zaradi potresa, Mestna obcina
    Ljubljana, Oddelek za zašcito, reševanje in
    civilno obrambo.
  • V prejšnjem stoletju so se pojavile tri pandemije
    gripe 1918/19 (španska gripa), 1957/58 (azijska
    gripa) in 1968/69 (hongkongška gripa).
    Strokovnjaki napovedujejo verjetnost nastanka
    nove pandemije v bližnji prihodnosti. Pandemija
    gripe za razliko od epidemije obicajne gripe ne
    predstavlja samo pomembnega javno zdravstvenega
    problema, ampak širši družbeni problem. saj lahko
    zboli od 25-45 ljudi. Zaskrbljujoce je, da je
    klinicna slika zelo težka (pticja gripa) in
    smrtnost zelo visoka (preko 50).Nacrt temelji na
    naslednjih predpostavkah
  • Pojav pandemije gripe je po oceni SZO realna
    grožnja.
  • Virus gripe se bo širil zelo hitro in bo
    povzrocil visoko morbiditeto in povecano
    mortaliteto.
  • Tekst je povzet iz NACRTA PRIPRAVLJENOSTI NA
    PANDEMIJO GRIPE NA PODROCJU ZDRAVSTVA Julij 2006,
    MZZ

14
Vrednotenje tveganj
stopnja tveganja Obravnavanje Rok za obravnavanje tveganja
veliko Tveganja ni mogoce upraviciti/sprejeti, razen morda v izrednih razmerah. Uvesti je potrebno kontrole, ki bodo zmanjšale verjetnost takšnega dohodka in/ali posledice, tako da bo kombinacija obojega predstavljala sprejemljivo tveganje. Nacrt obravnavanja tveganja je potrebno izdelati in izvesti takoj ali najkasneje v roku pol leta, ce izvedba priporocila vkljucuje razvoj/vpeljavo storitve IKT.
srednje Potrebno je uvesti kontrolne ukrepe, tako da bo tveganje uvršceno v sprejemljivejše podrocje (nizko, sprejemljivo). Nacrt obravnavanja tveganja je potrebno izdelati in izvesti v roku pol leta ali najkasneje v enem letu, ce izvedba vkljucuje razvoj/vpeljavo storitve IKT.
nizko Preostalo tveganje je sprejemljivo, ce njegovo nadaljnje zmanjševanje ni izvedljivo ali upraviceno. Praviloma je potrebno v takšnem primeru pretehtati, ce se investicija v kontrolno okolje povrne. Nacrt obravnavanja tveganja je potrebno izdelati in izvesti kot del stalnega procesa izboljševanja kontrolnega okolja.
sprejemljivo Uvajanje dodatnih kontrol praviloma ni potrebno. Rok izvedbe ni dolocen.
15
Nacin obravnavanja tveganj
BS 25999-12006 a) Business continuity b)
Acceptance c) Change, suspend or terminate d)
Transfer
  • ISO 17799/2005
  • a) applying appropriate controls to reduce the
    risks
  • b) knowingly and objectively accepting risks,
    providing they clearly satisfy the organizations
    policy and criteria for risk acceptance
  • c) avoiding risks by not allowing actions that
    would cause the risks to occur
  • d) transferring the associated risks to other
    parties, e.g. insurers or suppliers.

16
Standardi in dobra praksa
  • AS/NZ 4630 Risk Management
  • M_o_R (Management of Risk, OGC)
  • A risk management Standard (IRM, Airmic, ALARM)
  • ISACA (S11, G13, P1)
  • MSR 315, 320
  • Standardi notranjega revidiranja

17
Dejavnosti centralne klirinškodepotne družbe
  • storitve vodenja centralnega registra
    nematerializiranih vrednostnih papirjev in
    skrbniške storitve v zvezi s korporacijskimi
    dejanji izdajateljev nematerializiranih
    vrednostnih papirjev,
  • storitve upravljanja poravnalnega sistema za
    poravnavo borznih poslov,
  • skrbniške storitve v zvezi s prevzemom v skladu z
    ZPre-1,
  • storitve v zvezi z zagotavljanjem socasnosti
    izpolnitve pri poravnavi drugih poslov, katerih
    predmet so nematerializirani vrednostni papirji,
  • storitve v zvezi z izplacilom donosov iz
    nematerializiranih vrednostnih papirjev,
  • druge storitve v zvezi s poslovanjem z
    nematerializiranimi vrednostnimi papirji in
    izpolnjevanjem obveznosti ter uveljavljanjem
    pravic iz vrednostnih papirjev

18
Zakonodaja
  • Zakon o trgu financnih instrumentov (ZTFI)
  • Zakon o nematerializiranih vrednostnih papirjih
    (ZNVP)
  • Zakon o prevzemih (ZPre-1)
  • Zakon o investicijskih skladih in družbah za
    upravljanje (ZISDU-1)
  • Sklep o organizacijskih zahtevah za vodenje
    centralnega registra in upravljanje poravnalnega
    sistema

19
Pogoji, pravila in navodila
  • Splošni pogoji poslovanja (KDD nastopa kot
    narocnik storitev)
  • Pravila poslovanja KDD - Centralne klirinško
    depotne družbe, d.d., Ljubljana
  • Navodila klirinškodepotne družbe za poravnavo
    borznih poslov
  • Navodila klirinškodepotne družbe o clanih
  • Navodila klirinškodepotne družbe o postopkih v
    zvezi s prevzemno ponudbo po ZPre-1
  • Navodila klirinškodepotne družbe za vodenje
    centralnega registra
  • Navodila klirinškodepotne družbe za socasno
    izpolnitev zunajborznih poslov
  • Tehnicna navodila

20
Sklep o organizacijskih zahtevah
za vodenje centralnega registra in upravljanje
poravnalnega sistema
21
Primer teksta iz sklepa
  • 3.3. NOTRANJE KONTROLE
  • 21. Clen (ustreznost notranjih kontrol)
  • (1) Notranje kontrole so ustrezne, ce
  • - zagotavljajo reden in ucinkovit nadzor nad
    skladnostjo delovanja oseb, ki opravljajo dela
    pri upravljavcu, s sprejetimi odlocitvami
    upravljavca,
  • - je zagotovljeno delovanje funkcije za pregled
    in ocenjevanje trdnosti in zanesljivosti sistema
    upravljanja ter za pregled in ocenjevanje
    izpolnjevanja drugih zahtev glede vodenja
    centralnega registra in upravljanja poravnalnega
    sistema (funkcija notranje revizije).
  • (2) Notranje kontrole vkljucujejo
  • - porocanje oseb, ki opravljajo dela pri
    upravljavcu, o poslovanju upravljavca in o
    okolju, v katerem ta posluje, ter spremljanje in
    nadzor nad temi porocili s strani oseb, ki
    sprejemajo odlocitve,
  • - vzpostavitev dovolj podrobnih formalnih
    delovnih postopkov pri izvajanju vseh
    pomembnejših poslovnih dejavnosti upravljavca in
    nadzor nad spoštovanjem teh postopkov,
  • - vzpostavitev dovolj podrobnih formalnih
    delovnih postopkov, ki so potrebni za pravocasno
    izpolnjevanje obveznosti v zvezi s financnimi in
    drugimi porocili, ki morajo prikazovati resnicno
    in pošteno sliko premoženja in obveznosti
    upravljavca, njegovega financnega položaja ter
    poslovnega izida in morajo biti skladna z
    veljavnimi racunovodskimi standardi,
  • - vzpostavitev sistemov in postopkov za
    ohranjanje varnosti, celovitosti in zaupnosti
    informacij,
  • - fizicne kontrole, kjer so te potrebne za
    omejevanje dostopa do premicnega in nepremicnega
    premoženja upravljavca in za varovanje tega
    premoženja
  • - vzpostavitev ustreznih notranjih kontrol na
    podrocju informacijskega sistema.

Upravljavec mora v svojem poslovanju smiselno
upoštevati slovenski standard SIST BS 7799-22003
Sistemi za upravljanje varovanja informacij
Specifikacija z napotki za uporabo, ki ga izdaja
Slovenski inštitut za standardizacijo oziroma
drug pooblašcen organ.
22
Varnost, zaupnost in celovitost
1_proc_clen_qry
cob text cl.
- vzpostavitev sistemov in postopkov za ohranjanje varnosti, celovitosti in zaupnosti informacij, 21
DS5.3 zagotovljene morajo biti logicne kontrole dostopa do programske in strojne opreme ter evidenca vseh dostopov, vpogledov oziroma sprememb podatkov in oseb, ki so dostopale, vpogledovale, vnašale ali spreminjale podatke, 27
DS5.3 možnost vnosa podatkov smejo imeti le pooblašcene osebe, 27
DS5.3 je dostop do podatkov in racunalniških programov oziroma posameznih funkcij informacijskega sistema omejen le posameznim uslužbencem v skladu z njihovimi pooblastili in odgovornostmi, in da razen dolocenega upravljavca informacijskega sistema nihce od zaposlenih nima neomejenega dostopa do vseh podatkov in racunalniških sistemov, 26.
DS5.3 zaposleni morajo imeti ustrezne dostope do informacij, da lahko izvršujejo svoje naloge, 24
DS5.4 (2) Upravljavec z internim aktom doloci osebe, ki imajo pravico do dostopa, vpogleda, vnosa in sprememb podatkov, ter nivo njihovih pravic. 27
DS5.4 so dolocena pravila in pooblastila za dostop do podatkov in posameznih racunalniških programov, 26
DS5.5 zagotovljen mora biti podatek o osebah, ki so dostopale do podatkov in osebah, ki so opravile vnos in odobrile vnos podatkov, 27
DS5.5 Splošni informacijski sistem, ki podpira racunovodstvo in notranje postopke v zvezi z opravljanjem storitev upravljavca (v nadaljevanju splošni informacijski sistem) mora omogocati beleženje vseh transakcij in s tem povezanega pretoka podatkov, ki je potreben v procesu sprejemanja odlocitev v okviru notranjih kontrol, predvsem pa moraomogocati sledljivost vseh transakcij z beleženjem casa in bistvenih podatkov o transakciji, ki omogocajo sledljivost transakcij, 24
DS5.11 zagotovljen mora biti natancen, popoln ter ustrezno zašciten prenos podatkov, 27
23
Preslikava
24
(No Transcript)
25
Zrelostni model
category mlevel clen text
Awerness and Communication 4 13. clen Zaposleni morajo razumeti namen in pomembnost notranjih kontrol ter svoj prispevek k njihovemu ucinkovitemu izvajanju.
Awerness and Communication 4 3. clen da vzpostavi, izvaja in vzdržuje ucinkovito notranje porocanje ter pretok informacij na vseh ustreznih ravneh
Awerness and Communication 4 3. clen da zagotovi, da so vsi zaposleni seznanjeni s postopki, ki jih morajo upoštevati za pravilno opravljanje svojih dolžnosti
Goals Setting and Measurment 4 21. clen - nadzor nad spoštovanjem teh postopkov,
Goals Setting and Measurment 4 3. clen da vzpostavi, izvaja in vzdržuje primerne notranje kontrolne mehanizme, katerih namen je zagotoviti skladnost z odlocitvami in postopki na vseh ravneh upravljavca
Goals Setting and Measurment 4 3. clen da spremlja in redno ocenjuje primernost in ucinkovitost svojih sistemov, notranjih kontrolnih mehanizmov in ureditev ter sprejme primerne ukrepe za odpravljanje pomanjkljivosti.
Policies,plans and Procedures 4 17. clen (4) Upravljavec mora pred vecjo spremembo organizacijskega ustroja opraviti analizo pripadajocih tveganj.
Policies,plans and Procedures 4 21. clen - vzpostavitev dovolj podrobnih formalnih delovnih postopkov pri izvajanju vseh pomembnejših poslovnih dejavnosti upravljavca
Policies,plans and Procedures 4 27. clen (3) Upravljavec mora v svojem poslovanju smiselno upoštevati slovenski standard SIST BS 7799-22003 Sistemi za upravljanje varovanja informacij Specifikacija z napotki za uporabo, ki ga izdaja Slovenski inštitut za standardizacijo oziroma drug pooblašcen organ.
Policies,plans and Procedures 3 28. clen (3) Upravljavec mora zagotoviti varnost, popolnost in ažurnost dokumentacije.
Policies,plans and Procedures 3 3. clen Pravila, nacrti in postopki, ki jih upravljavec sprejme na podlagi tega sklepa, morajo biti v pisni obliki.
Policies,plans and Procedures 3 3. clen da vzdržuje primerne in urejene evidence svojih dokumentov v zvezi z notranjo organizacijo in postopki
Responsibility and Accountability 4 11. clen zagotavlja transparenten in dokumentiran proces sprejemanja vodstvenih odlocitev.
Responsibility and Accountability 4 21. clen - zagotavljajo reden in ucinkovit nadzor nad skladnostjo delovanja oseb, ki opravljajo dela pri upravljavcu, s sprejetimi odlocitvami upravljavca,
Responsibility and Accountability 4 27. clen (3) Upravljavec mora v svojem poslovanju smiselno upoštevati slovenski standard SIST BS 7799-22003 Sistemi za upravljanje varovanja informacij Specifikacija z napotki za uporabo, ki ga izdaja Slovenski inštitut za standardizacijo oziroma drug pooblašcen organ.
Responsibility and Accountability 4 3. clen da pripravi, izvaja in vzdržuje postopke odlocanja ter organizacijsko strukturo, ki jasno in na dokumentiran nacin razporeja funkcije, pooblastila in odgovornosti
26
Preslikava na procese COBIT-a
27
Preslikava na COBIT
  • Prednosti
  • Opisana in preizkušena metodologija
  • Za lastne potrebe jo je mogoce poenostaviti
  • Zagotavalja celovit pregled
  • Spodbuja objektivnost
  • Povezava z ISO 17799, ...!
  • Kontrolni cilji, metrike (upravljanje)
  • Control practicies (SUVI)
  • Assurance guide (revizija)

28
Prehod iz normativnega v operativno
(v skladu s standardi in dobro prakso)
  • S preslikavo zakonodajnih zahtev na COBIT
    kontrolne cilje je
  • dolocen minimalni predvideni obseg kontrolnega
    okolja (procesi, kontrolni cilji, metrike).
  • dolocena predvidena zrelost (kakovost)
    kontrolnega okolja.
  • Dolocitev in sprejetje kriterijev ocenjevanja in
    obravnavanja tveganj
  • je osnova za sporazumevanje o pomembnosti
    tveganj,
  • spodbuja objektivnost ocenjevanja in dolocanja
    prioritet

29
Obravnavanje tveganj (primer)
  • Evidenca racunalniške opreme
  • Zahteva rednost in natancnost
  • Kratek potreben cas za vpis podatkov
  • Opis konfiguracije
  • Ucinek
  • Omogoca spremljanje gibanja opreme
  • Omogoca spremljanje zadolžitev
  • Omogoca identificiranje ob odtujitvi

30
Zakonodaja za bancno okolje
  • ZBan-1, Zakon o bancništvu
  • Sklep o upravljanju s tveganji in izvajanju
    procesa ocenjevanja ustreznega notranjega
    kapitala za banke in hranilnice
  • Priloga splošni standardi upravljanja z
    operativnim tveganjem (BCM, PCP, DRP, nadzor
    zasebnega varovanja)

31
Sklep o upravljanju s tveganji...
  • Strategija in politika prevzemanja tveganj in
    upravljanja s tveganji
  • Metodologija merjenja tveganj za merljiva
    tveganja
  • Metodologija ocenjevanja tveganj za nemerljiva
    tveganja
  • Sistem upravljanja ustroja, upravljanja in kontrol

32
Sklep o upravljanju s tveganji...
  • Ustrezni zaposleni in njihova zamenljivost
  • Pravila uvajanja novih produktov ali sistemov
  • Pravila uporabe zunanjih izvajalcev
  • Pogodbeni odnosi (prekinitev, podatki, dostop
    narocnika, SLA)
  • Porocanje o tveganjih

33
Sklep o upravljanju s tveganji...
  • Fizicne kontrole
  • Politika varnosti informacijskih sistemov
  • Ocenjevanje ustreznega notranjega kapitala
Write a Comment
User Comments (0)
About PowerShow.com