1 / 33

Upravljanje operativnih tveganj v finančnih inštitucijah

Upravljanje operativnih tveganj v finančnih inštitucijah. Predstavljena stališča so osebna stališča avtorjev in ne odražajo nujno stališč oziroma poslovne prakse družb, v katerih sta zaposlena. Mag. Janko Uratnik Peter Grasselli. Operativno tveganje. Basel II Definicije iz zakonodaje

monty
Download Presentation

Upravljanje operativnih tveganj v finančnih inštitucijah

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Upravljanje operativnih tveganj v finančnih inštitucijah Predstavljena stališča so osebna stališča avtorjev in ne odražajo nujno stališč oziroma poslovne prakse družb, v katerih sta zaposlena. Mag. Janko Uratnik Peter Grasselli

  2. Operativno tveganje • Basel II • Definicije iz zakonodaje ZBAN 112. (operativno tveganje) ZTFI 327., 418. člen (politike in procesi upravljanja z operativnim tveganjem) (1) Operativno tveganje je tveganje nastanka izgube, vključno s pravnim tveganjem, zaradi naslednjih okoliščin: 1. neustreznosti ali nepravilnega izvajanja notranjih procesov, 2. drugih nepravilnih ravnanj ljudi, ki spadajo v notranjo poslovno sfero pravne osebe, 3. neustreznosti ali nepravilnega delovanja sistemov, ki spadajo v notranjo poslovno sfero pravne osebe, ali 4. zunanjih dogodkov ali dejanj.

  3. Izguba podatkov in razpoložljivosti sistema zaradi potresa. Varna soba (npr. Lampertz ) Napajanje z več strani, agregat, UPS v celici Potresno varna gradnja Optika in mikrovalovni link za povezavo z internetom Izguba podatkov zaradi namernega dejanja zaposlenega. Dostop do sistema, baze podatkov in varnostnih kopij imata sistemec in operater. Kraja gesel s strani servisnega osebja. Servisnega osebja (snažilke, vzdrževalci, ...) se ne sporemlja dosledno. Ocena tveganja (primer)

  4. Tveganje • Tveganje je verjetnost, da se bo z napadom na določeno slabost sistema uresničila določena grožnja, kar bo imelo neželene posledice. (COBIT) • verjetnost • posledice • grožnja • slabost (ranljivost)

  5. Verjetnost

  6. Posledice

  7. Posledice

  8. Stopnja tveganja

  9. Procesi • PO9 Asses and manage IT risks • AI1 Identify automated solutions (AI1.2 Risk analysis report) • AI6 Manage Changes (AI6.2 Impac assesement, …) • DS4 Ensure continous service • DS5 Ensure systems security • ME2 Monitor and evaluate internal control (ME2.5 Assurance of internal control) • ME4 Provide IT governance (ME4.7 Independent assurance)

  10. Upravljanje tveganj

  11. Identifikacija tveganj (primer) • Rezervna lokacija od primarne oddaljena 1 km (v Ljubljani) • Obe lokaciji potresno varni • Obe lokaciji požarno varni • Napajanje z dveh strani + agregat • Obe lokaciji varovani (tehnično in fizično varovanje 24 ur) • Povezava optika + mikrovalovni link • Journal datotečni sistem

  12. Identifikacija tveganj Taxonomy of Threats and Security Services for Information Systems, MITRE, WP 93B0000323

  13. Identifikacija tveganj • Zavedati se moramo, da je potresna nevarnost pri nas realna in stvarna in da do potresa lahko pride kadarkoli. Iz kranjskega stolnega mesta z nemško provincialno podobo, ko je imela pred dobrimi sto leti le krog 30.000 prebivalcev, se je Ljubljana prelevila v moderno slovensko središče - prometno križišče, logistično in upravno središče, prestolnico države, kar seveda pomeni, da bi s potresom, ne le mesto, tudi država imela resne težave. Lahko bi se celo zgodilo, da bi logistično "razpadla" na štiri dele... • Citat je iz gradiva Ocena ogroženosti mestne občine Ljubljana zaradi potresa, Mestna občina Ljubljana, Oddelek za zaščito, reševanje in civilno obrambo. • V prejšnjem stoletju so se pojavile tri pandemije gripe; 1918/19 (španska gripa), 1957/58 (azijska gripa) in 1968/69 (hongkongška gripa). Strokovnjaki napovedujejo verjetnost nastanka nove pandemije v bližnji prihodnosti. Pandemija gripe za razliko od epidemije obicajne gripe ne predstavlja samo pomembnega javno zdravstvenega problema, ampak širši družbeni problem. saj lahko zboli od 25-45% ljudi. Zaskrbljujoce je, da je klinicna slika zelo težka (ptičja gripa) in smrtnost zelo visoka (preko 50%).Načrt temelji na naslednjih predpostavkah: • Pojav pandemije gripe je po oceni SZO realna grožnja. • Virus gripe se bo širil zelo hitro in bo povzrocil visoko morbiditeto in povecano mortaliteto. • Tekst je povzet iz NACRTA PRIPRAVLJENOSTI NA PANDEMIJO GRIPE NA PODROCJU ZDRAVSTVA Julij 2006, MZZ

  14. Vrednotenje tveganj

  15. Način obravnavanja tveganj ISO 17799/2005 a) applying appropriate controls to reduce the risks; b) knowingly and objectively accepting risks, providing they clearly satisfy the organization’s policy and criteria for risk acceptance; c) avoiding risks by not allowing actions that would cause the risks to occur; d) transferring the associated risks to other parties, e.g. insurers or suppliers. BS 25999-1:2006 a) Business continuity b) Acceptance c) Change, suspend or terminate d) Transfer

  16. Standardi in dobra praksa • AS/NZ 4630 Risk Management • M_o_R (Management of Risk, OGC) • A risk management Standard (IRM, Airmic, ALARM) • ISACA (S11, G13, P1) • MSR 315, 320 • Standardi notranjega revidiranja

  17. Dejavnosti centralne klirinškodepotne družbe • storitve vodenja centralnega registra nematerializiranih vrednostnih papirjev in skrbniške storitve v zvezi s korporacijskimi dejanji izdajateljev nematerializiranih vrednostnih papirjev, • storitve upravljanja poravnalnega sistema za poravnavo borznih poslov, • skrbniške storitve v zvezi s prevzemom v skladu z ZPre-1, • storitve v zvezi z zagotavljanjem sočasnosti izpolnitve pri poravnavi drugih poslov, katerih predmet so nematerializirani vrednostni papirji, • storitve v zvezi z izplačilom donosov iz nematerializiranih vrednostnih papirjev, • druge storitve v zvezi s poslovanjem z nematerializiranimi vrednostnimi papirji in izpolnjevanjem obveznosti ter uveljavljanjem pravic iz vrednostnih papirjev

  18. Zakonodaja • Zakon o trgu finančnih instrumentov (ZTFI) • Zakon o nematerializiranih vrednostnih papirjih (ZNVP) • Zakon o prevzemih (ZPre-1) • Zakon o investicijskih skladih in družbah za upravljanje (ZISDU-1) • Sklep o organizacijskih zahtevah za vodenje centralnega registra in upravljanje poravnalnega sistema

  19. Pogoji, pravila in navodila • Splošni pogoji poslovanja (KDD nastopa kot naročnik storitev) • Pravila poslovanja KDD - Centralne klirinško depotne družbe, d.d., Ljubljana • Navodila klirinškodepotne družbe za poravnavo borznih poslov • Navodila klirinškodepotne družbe o članih • Navodila klirinškodepotne družbe o postopkih v zvezi s prevzemno ponudbo po ZPre-1 • Navodila klirinškodepotne družbe za vodenje centralnega registra • Navodila klirinškodepotne družbe za sočasno izpolnitev zunajborznih poslov • Tehnična navodila

  20. Sklep o organizacijskih zahtevah za vodenje centralnega registra in upravljanje poravnalnega sistema

  21. Primer teksta iz sklepa 3.3. NOTRANJE KONTROLE 21. Člen (ustreznost notranjih kontrol) (1) Notranje kontrole so ustrezne, če: - zagotavljajo reden in učinkovit nadzor nad skladnostjo delovanja oseb, ki opravljajo dela pri upravljavcu, s sprejetimi odločitvami upravljavca, - je zagotovljeno delovanje funkcije za pregled in ocenjevanje trdnosti in zanesljivosti sistema upravljanja ter za pregled in ocenjevanje izpolnjevanja drugih zahtev glede vodenja centralnega registra in upravljanja poravnalnega sistema (funkcija notranje revizije). (2) Notranje kontrole vključujejo: - poročanje oseb, ki opravljajo dela pri upravljavcu, o poslovanju upravljavca in o okolju, v katerem ta posluje, ter spremljanje in nadzor nad temi poročili s strani oseb, ki sprejemajo odločitve, - vzpostavitev dovolj podrobnih formalnih delovnih postopkov pri izvajanju vseh pomembnejših poslovnih dejavnosti upravljavca in nadzor nad spoštovanjem teh postopkov, - vzpostavitev dovolj podrobnih formalnih delovnih postopkov, ki so potrebni za pravočasno izpolnjevanje obveznosti v zvezi s finančnimi in drugimi poročili, ki morajo prikazovati resnično in pošteno sliko premoženja in obveznosti upravljavca, njegovega finančnega položaja ter poslovnega izida in morajo biti skladna z veljavnimi računovodskimi standardi, - vzpostavitev sistemov in postopkov za ohranjanje varnosti, celovitosti in zaupnosti informacij, - fizične kontrole, kjer so te potrebne za omejevanje dostopa do premičnega in nepremičnega premoženja upravljavca in za varovanje tega premoženja - vzpostavitev ustreznih notranjih kontrol na področju informacijskega sistema. Upravljavec mora v svojem poslovanju smiselno upoštevati slovenski standard SIST BS 7799-2:2003 Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo, ki ga izdaja Slovenski inštitut za standardizacijo oziroma drug pooblaščen organ.

  22. 1_proc_clen_qry Varnost, zaupnost in celovitost

  23. Preslikava

  24. Zrelostni model

  25. Preslikava na procese COBIT-a

  26. Preslikava na COBIT • Prednosti • Opisana in preizkušena metodologija • Za lastne potrebe jo je mogoče poenostaviti • Zagotavalja celovit pregled • Spodbuja objektivnost • Povezava z ISO 17799, ...! • Kontrolni cilji, metrike (upravljanje) • Control practicies (SUVI) • Assurance guide (revizija)

  27. Prehod iz normativnega v operativno (v skladu s standardi in dobro prakso) • S preslikavo zakonodajnih zahtev na COBIT kontrolne cilje je: • določen minimalni predvideni obseg kontrolnega okolja (procesi, kontrolni cilji, metrike). • določena predvidena zrelost (kakovost) kontrolnega okolja. • Določitev in sprejetje kriterijev ocenjevanja in obravnavanja tveganj: • je osnova za sporazumevanje o pomembnosti tveganj, • spodbuja objektivnost ocenjevanja in določanja prioritet

  28. Obravnavanje tveganj (primer) • Evidenca računalniške opreme • Zahteva rednost in natančnost • Kratek potreben čas za vpis podatkov • Opis konfiguracije • Učinek: • Omogoča spremljanje gibanja opreme • Omogoča spremljanje zadolžitev • Omogoča identificiranje ob odtujitvi

  29. Zakonodaja za bančno okolje • ZBan-1, Zakon o bančništvu • Sklep o upravljanju s tveganji in izvajanju procesa ocenjevanja ustreznega notranjega kapitala za banke in hranilnice • Priloga: splošni standardi upravljanja z operativnim tveganjem (BCM, PCP, DRP, nadzor zasebnega varovanja)

  30. Sklep o upravljanju s tveganji... • Strategija in politika prevzemanja tveganj in upravljanja s tveganji • Metodologija merjenja tveganj za merljiva tveganja • Metodologija ocenjevanja tveganj za nemerljiva tveganja • Sistem upravljanja ustroja, upravljanja in kontrol

  31. Sklep o upravljanju s tveganji... • Ustrezni zaposleni in njihova zamenljivost • Pravila uvajanja novih produktov ali sistemov • Pravila uporabe zunanjih izvajalcev • Pogodbeni odnosi (prekinitev, podatki, dostop naročnika, SLA) • Poročanje o tveganjih

  32. Sklep o upravljanju s tveganji... • Fizične kontrole • Politika varnosti informacijskih sistemov • Ocenjevanje ustreznega notranjega kapitala

More Related